[WEB]
Client-side attack
XSS(Cross Site Scripting): 발현방식에 따라 Stored XSS, Reflected XSS
1. 태그를 통째로 탈출하는 방법
2. 속성을 변경하는 방법(ex, oncfocus)
3. accesskey 속성을 사용하는 방법
CSRF(Cross Site Request Forgery): 공격자가 보낸 링크나 페이지에 삽입한 코드를 통해, 마치 피해자가 해당 요청을 보낸 것처럼 웹 사이트에 전송
CORS Misconfiguration
JSONP Injection: 공격자가 SOP를 우회하여 피해자의 권한으로 서버에 요청, Rosetta Flash 공격
DNS Rebinding Attack: 공격자가 SOP를 우회하여 피해자의 방화벽 안쪽 내부 네트워크 액세스 가능
SOP때문에 192.168.0.1은 접속하지 못한다
File inclusion: LFI, RFI, Directory Traversal, XXE(XML Ecternal Entity Injection)
Script/Query Injection(SSRF: Server Side Request Forgery, Command Injection, SQL Injection, SSTI: Server Side Template Injection)
SSTI: 서버에서 요청 결과를 돌려줄때 템플릿 언어를 사용하는데 입력 값을 검증 없이 사용하여 코드 실행이 가능한 취약점
컨테이너(LXX, LXD, Docker, Kubernates..)는 리눅스 커널을 공유한다!!
따라서 VM보다 빠르다..
'비오비' 카테고리의 다른 글
| 7/22 [이기택멘토님] (0) | 2019.07.22 |
|---|---|
| 7/21 whitebox (0) | 2019.07.21 |
| 7/19 [이상섭 멘토님] (0) | 2019.07.19 |
| 7/18 [이기택 멘토님] (0) | 2019.07.18 |
| 7/18 [신정훈 멘토님] (0) | 2019.07.18 |