php개발자(백엔드) 26 크로스 사이트 스크립팅(XSS) [크로스 사이트 스크립팅(XSS)] 1.정의 : 가. 사용자가 입력한 정보를 출력할 때 스크립트가 실행되도록 하는 공격기법이다. 다른 사이트로 어떤 정보를 전송하는 행위가 주로 일어나기 때문에 사이트간 스크립팅이라는 이름을 가지고 있다. [출처 : https://opentutorials.org/course/692/3961 ] 나. 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하지 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생한다 [출처 : OWASP] 2. 공격 종류가. 저장 XSS 공격 : 게시판 같은 곳에서 사용자 입력 폼에 악성 스크립트 태그를 포함하여 게시글을 서버에 업로드 시켜놓고 다른사용자가 페이지를 읽는 순간 브라우저를 공격하는 방식 나. 반사 .. 2017. 1. 31. PHP 보안 - 서론 [PHP 보안 - 서론] 내가 개발한 사이트에서 내가 올리지 업로드 하지않은 폴더가 하나 발견되었다. 두둥- 파일은 2개, java.exe , java.swf 파일로 사이트 접속시 온통 빨간 화면으로 바뀌며 위험성을 포함한 사이트라고 경고해주는... 그런 화면이 나오게 된다. [사이트에 접속하면 다음과 같은 화면이 나온다] 결국 보안이 뚫리게 되어 의도치 않은 파일이 업로드 되었다는 것이다. ㅠㅠ 업로드 날짜는 지금으로부터 약 1달가량 전... 근데 저번주 금요일까지만 해도 잘 운영되던 사이트가 왜 갑자기 스팸 사이트로 분류가 된걸까? 크롬에서는 하루에 수십억 페이지를 방문하며 악성 코드가 있는지, 스팸코드가 포함된 사이트인지 검사한다.기존에 잘 나왔던 이유는 마지막 URL검사때 없었던 악성코드가 검사 .. 2017. 1. 23. 카페24 DB 연결 [카페24 DB 연결] 예를 들어 회사서버, 내 개인서버에서 작업하다가 완료된 후 카페24같은 호스팅업체에서 도메인 및 호스팅을 결제하였을때, 서버옮기는 방법입니다. 1. FTP 접속 (1) 계정정보 확인 - 카페 24에서 호스팅 결제를 하고 나면 '나의서비스 관리 - 호스팅관리 - 서비스 접속정보' 에 들어가면 다음과 같은 정보가 나옵니다. (설명을 위해 임의아이디 test를 사용하겠습니다) (2) FTP 프로그램에 계정정보 입력 - 파일질라, 알드라이브 등 FTP에 접속할수있는 프로그램에 해당 정보를 입력합니다. - ex) 호스트 : test.com / 사용자명 : test / 비밀번호 : (내가 설정한 FTP 비밀번호 입력 - 비번은 새로 설정해도 됩니다) / 포트 : 3306(디폴트값) [비밀번호.. 2017. 1. 20. var_dump [var_dump] echo는 데이터의 내용을 볼수있는 출력의 기능을 가지고 있지만 echo같은 경우 bool 자료형이 true일때는 1을 보여주지만 false일 때는 null의 모양으로 출력된다. (아무것도 나오지 않는거처럼 보임) 분명 false값임에도 나오지 않는다... 그럼 어떻게 확인할수 있을까? 바로 var_dump를 사용한다. var_dump — 변수에 대한 정보를 덤프[출처] http://php.net/manual/kr/function.var-dump.php var_dump를 사용하면 bool 데이터의 결과를 다음과 같이 보여준다 bool(false) 보고자하는 데이터의 자료형과 함께 그 값을 볼수있다. 2017. 1. 12. 이전 1 2 3 4 5 6 7 다음
