11.3.1 강제 브라우징 강제 브라우징(Forced browsing)은 웹 서버의 공개 디렉토리에 있는 파일 중 공개 의도가 없는 파일을 열람하는 취약성이다. url을 숨기는 수준의 보안 대책을 사용하고 있다면 해당 url만 알면 파일을 열람할 수 있게 된다. 예측하기 쉬운 url를 사용하면 좋지 않다. 😓 추측하기 쉬운 파일명 http://2jun0/secret.txt 😓 백업 파일 에디터에서 만들어준 백업파일은 권한이 따로 정해지지 않는 경우가 많아 노출될 위험이 있다. http://2jun0/secret.txt~ (백업파일) 11.3.2 부적절한 에러 메시지 처리 부적절한 에러 메시지 처리(Error Handling Vulnerability)는 공격자에게 유익한 정보가 웹 에플리케이션의 에러 메시..

이번 스터디는 4주동안 꽤 빠르게 진행했다. 책도 어려운 내용은 다루지 않고 설명도 친절하게 되어있어서 가능한 일이였다. 설명으로 그려놓은 캐릭터가 귀여워서 잘 읽혔다 🙄 왜 하게 되었는가? 이유는 딱히 없고 정말 어쩌다가 스터디를 하게 되었다. 솔직히 내가 배울게 있을까? 싶었다. 책도 전자책이 없는 데다가 발행년도가 2015년.. 이라서 런 각을 마음속에서 생각했지만 이내 긍정적인 마음을 갖고 공부해보기로 했다. 📝 진행 방식 스터디는 10시부터 약 1시간동안 각자 담당한 파트를 발표하고 나머지 시간동안 노가리와 토론 시간을 가졌다. 항상 그렇듯 발표는 언제나 긴장하며 했지만, 다른 분들이 너그럽게 이해해 주셨다. ~~그랬겠지?~~ 스터디 맴버는 5명으로 구성되었다. 담당 파트는 p20~p30가량 한..

8.1 인증이란? 서비스를 이용하는 주체가 누구인지 정확히 알아야 할 필요가 있다. 누가 엑세스하고 있는지를 확인하는 과정을 인증이라고 한다. 주체가 가지고 있는 정보나 주체만 알고 있는 정보로 확인한다. 주로 다음과 같은 것이다. 패스워드 : 본인만이 알고있는 문자열 정보 원타임 토큰 : 한번 쓰고 버리는 패스워드 등의 정보 전자 증명서 : 단말기가 가지고 있는 정보 바이오 매트릭스 : 신체정보 IC 카드 : 카드에 칩같은 그 것 HTTP/1.1에선 다음과 같은 인증 방식이 있다. BASIC 인증 DIGEST 인증 SSL 클라이언트 인증 폼 베이스 인증 8.2 BASIC 인증 BASIC인증은 HTTP/1.0 이래로 지금까지 사용하고 있는 인증방식이다. 상태코드 401: 인증이 필요하다! Basic인증이..

2.1 Http는 서버와 클라이언트 간에 통신을 한다. 클라이언트는 서버에게 리소스를 요청하고 서버는 클라이언트에게 리소스를 제공한다. 2.2 리퀘스트와 리스폰스를 교환하여 성립 클라이언트가 Request를 보내면 서버는 Response를 보낸다. 💬 예시 클라이언트 측) 리퀘스트 송신 GET /index.html HTTP/1.1 Host: www.youngjin.com 서버 측) 리스폰스 송신 HTTP/1.1 200 OK Date: Tue, 10 Jul 2012 06:50:15 GMT Content-Length: 362 Content-Type: text/html .... 🧩 리퀘스트 메시지 구성 🧩 리스폰스 메시지 구성 2.3 HTTP는 상태를 유지하지 않는 프로토콜 HTTP는 stateless 프로토..