김야키

Chapter06 - 02 XSS공격(D-DoS) 1. DDoS 공격의 분류 l Distributed Denial of Service l 웹 상에서의 DDoS공격은 해당 웹 페이지가 서비스를 할 수 없도록 만드는 것 l 보통 공격은 HTTP(TCP)를 이용해서 이루어 진다. l 정상적인 세션을 맺지 않은 경우의 DDoS (Network 공격) ü TCP SYN Flooding Attack: 연결을 하기 위해 SYN 패킷 만을 계속 보내는 것 (세션을 맺지 않음) l 정상적인 세션을 맺은 경우의 DDoS (Web 공격) ü 정상적인 세션을 맺기 때문에 보안 제품의 기능 및 정상 세션 검증 절차를 쉽게 회피할 수 있음 ü TCP Connection Flooding ü HTTP Get Flooding ü HT..

Chapter06 - XSS공격 1. XSS 취약점 이란? l Cross Site Script라는 언어로 자바 스크립트를 사용하여 공격하는 경우가 많다. l SQL Injection과 함께 웹 상에서 공격하려는 사이트에 스크립트를 넣는 기법의 공격을 말한다. l 공격에 성공하면 삽입된 코드를 실행하게 되며, 의도치 않은 행동을 수행시키거나 쿠키 혹은 세션 토큰 등의 민감한 정보를 탈취한다. l 공격을 하기 위해서는 Sniffing과 Spoofing가 필수적으로 이루어 져야 한다. ü Sniffing = SQL Injection -> 정보를 얻어 오기 위한 것 ü Spoofing = XSS -> 실제로 공격을 하기 위한 것 l 기존 사이트를 공격하기는 어렵기 때문에 업데이트를 하는 도중(내부적으로 스크립트..