본문 바로가기

분류 전체보기49

반사형 XSS(Reflected XSS) 정의와 메커니즘 반사형 XSS는 사용자가 제공한 데이터가 즉시 웹 애플리케이션에 의해 처리되고, 그 결과가 사용자에게 바로 반영되어 실행되는 XSS 공격 유형입니다. 이 공격은 사용자가 특정 링크를 클릭하거나 입력 폼에 데이터를 입력할 때 발생할 수 있으며, 악성 스크립트가 포함된 URL을 피해자에게 유도하여 클릭하게 만드는 방식으로 주로 이루어집니다. 공격 시나리오 링크 생성: 공격자는 악성 스크립트를 포함한 링크를 생성합니다. 유도: 소셜 엔지니어링 기법을 사용하여 피해자가 이 링크를 클릭하도록 유도합니다. 스크립트 실행: 피해자가 링크를 클릭하면, 악성 스크립트가 피해자의 브라우저에서 실행됩니다. 정보 탈취 또는 악의적 행위: 이 스크립트를 통해 피해자의 쿠키나 세션 정보를 탈취하거나, 피해자를 속.. 2024. 3. 21.
크로스 사이트 스크립팅(XSS) - 보안 소개 크로스 사이트 스크립팅(XSS)은 웹 애플리케이션에서 가장 흔한 보안 취약점 중 하나로, 공격자가 사용자 브라우저에 악의적인 스크립트를 주입하여 사용자를 속이거나 사용자의 정보를 탈취하는 공격 기법이다. XSS 공격은 사용자 입력을 통해 발생할 수 있으며, 공격자는 이를 통해 세션 쿠키, 세션 ID 등의 중요한 정보를 탈취하거나 악성 스크립트를 실행시켜 사용자의 브라우저를 제어할 수 있다. 종류 저장형 XSS: 공격자가 악의적인 스크립트를 데이터베이스나 파일 시스템에 저장한 후, 해당 데이터가 웹 페이지에 출력될 때 실행되는 형태의 XSS 공격이다. 반사형 XSS: 공격자가 피해자에게 악의적인 링크를 제공하여 피해자가 클릭할 때 공격 스크립트가 실행되는 형태의 XSS 공격이다. DOM 기반 XSS:.. 2024. 3. 21.
소프트웨어 생명주기 1.개요 소프트웨어 개발 생명주기는 소프트웨어 제품을 개발, 배포, 유지보수하는 전 과정을 체계적으로 관리하는 방법론 이 프로세스는 효율성, 품질 보증 및 위험 최소화를 목표로 하며, 소프트웨어 개발 프로젝트의 성공을 위해 필수적인 단계들로 구성된다. 2.단계 요구사항 분석: 이 초기 단계에서는 프로젝트의 목표, 필요사항, 기대 결과물에 대한 깊은 이해를 구축. 사용자의 요구사항을 수집하고 분석하여 프로젝트의 범위를 정의하는 과정 시스템 설계: 요구사항 분석 단계를 바탕으로 시스템의 구조를 설계 이 단계에서는 소프트웨어 아키텍처, 데이터 모델, 인터페이스 등의 상세한 설계가 이루어지며, 기술적 사양이 명확히 정의된다. 구현(개발): 설계 단계에서 정의된 사양을 바탕으로 실제 코드 작성이 이루어진다. 개발.. 2024. 3. 21.
데이터베이스 개요 데이터베이스는 조직된 정보 또는 데이터의 집합으로, 데이터를 효율적으로 저장, 검색, 수정할 수 있게 해주는 시스템입니다. 데이터베이스의 주요 목적은 대량의 데이터를 안전하게 보관하고, 사용자와 응용 프로그램이 필요할 때 언제든지 빠르고 정확하게 데이터에 접근할 수 있게 하는 것입니다. 이를 통해 데이터 관리의 효율성을 높이고, 정보를 기반으로 한 의사결정을 가능하게 합니다. 2.데이터베이스의 주요 사용 목적 데이터 관리의 효율성 증대: 중복을 최소화하고, 데이터의 일관성과 정확성을 유지하며, 효율적인 데이터 저장 및 검색 방법을 제공합니다. 데이터 보안 강화: 사용자 권한 설정을 통해 민감한 정보의 무단 접근을 방지합니다. 데이터 무결성 보장: 데이터의 정확성, 일관성 및 신뢰성을 유지하기 위한 .. 2024. 3. 18.
베이퍼웨어 베이퍼웨어(Vaporware)는 기술 또는 제품이 공식적으로 발표되었거나 홍보되었지만 실제로는 개발이나 출시가 지연되거나 결국에는 출시되지 않는 경우를 가리키는 용어. 이 용어는 주로 소프트웨어 및 하드웨어 산업에서 사용되며, 제품의 개발 과정에서 예상보다 많은 시간이 소요되거나 기술적인 문제로 인해 제품이 출시되지 않는 경우에 해당된다. 베이퍼웨어는 종종 기술 산업에서 새로운 기술이나 제품을 발표할 때 발생할 수 있다. 예를 들어, 기업이 새로운 소프트웨어 플랫폼이나 하드웨어 디바이스를 발표하고, 이를 위해 큰 광고와 홍보를 했지만 실제로 제품이 출시되지 않거나 출시 일정이 반복적으로 연기되는 경우가 있다. 실제로, 많은 기업과 제품이 베이퍼웨어의 예로 들어갈 수 있다. 예를 들어, 게임 산업에서는 종.. 2024. 3. 15.
현행 시스템 파악 현행 시스템 파악은 새로운 시스템을 구축하거나 기존 시스템을 업그레이드할 때 핵심적인 단계 중 하나로, 현재 시스템의 구조, 기능, 데이터 흐름, 인터페이스 등을 이해하는 과정을 말합니다. 이 과정은 프로젝트의 성패에 큰 영향을 미치며, 제대로 이루어지지 않으면 후속 작업에서 예상치 못한 문제가 발생할 수 있습니다. 문서 및 자료 수집: 먼저, 현행 시스템과 관련된 모든 문서와 자료를 수집합니다. 이는 요구사항 문서, 설계 문서, 사용자 매뉴얼, 데이터 모델, 코드, 테스트 케이스 등을 포함합니다. 또한, 시스템의 운영 로그, 사용자 피드백, 관련 이슈 및 버그 리포트 등도 수집하여 현재 시스템의 사용 패턴과 문제점을 파악합니다. 시스템 아키텍처 이해: 다음으로, 시스템의 아키텍처를 이해합니다. 이는 시.. 2024. 3. 12.

티스토리툴바