교수님 이건 아니잖아요

이번 포스팅을 마지막으로 생활코딩의 php 강의를 마무리 할 것 같다. 이번 포스팅에서 알아볼 함수 #require #require_once #htmlspecialchars #strip_tags #basename 파일로 모듈화 - require 웹 페이지를 다 만든 후에는 계속해서 문제점을 찾고 수정해나가야 한다. 우리가 만든 파일들을 보면, 비효율적인 면이 보인다. 특히 index.php와 create.php, update.php에서 가장 윗부분에 있는 함수가 서로 같은데, 만약 함수의 특정 부분을 수정하면 이 세 파일을 모두 수정해야 하는 번거로움이 있다. 이렇게 파일을 수정하다가 어느 하나를 놓칠 수도 있다. 여기서 좋은 코드를 만드는 방법 한 가지는 무엇이냐면, 중복을 제거하라는 것이다. 그럼 이..

지난 포스팅(XSS 공격이란?)에서 XSS가 무엇인지에 대해 알아보았다. 이번에는 XSS game 중 레벨 1을 풀어볼것이다. xss-game 사이트 여기에 공격을 하면 되는 것으로 보인다. 지난 글에서 입력을 그대로 보여주는 검색 엔진에서는 취약점이 있다고 배웠다. 문제에서 스크립트를 삽입해 알림창을 띄우라고 하니 공격을 해보자. 검색창에 이렇게 입력을 했을 때 XSS 공격이 통한다면 알림창이 띄워질 것이다. 검색창은 이렇게 변했고 동시에 문제를 풀었다는 알림이 떴다. alert();에 아무것도 쓰지 않았기 때문에 undefined로 떴다.

XSS : 크로스 사이트 스크립팅(cross-site scripting) 웹페이지에 스크립트 언어를 삽입해 공격하는 클라이언트 대상의 공격 기법이다. 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되고, 의도치 않은 행동을 수행시키거나 민감한 정보(쿠키, 세션 토큰)를 탈취한다. 웹페이지나 게시판, 메일 등에서 발생한다. 기초적이고 단순하지만 강력하다. 많은 웹사이트들이 XSS에 대한 방어 조치를 해두지 않아 공격을 받는 경우가 많다. ( ) ! @ { } \n \t \0 ' " > < % $ 등의 문자를 이용해 공격한다. (특수 문자나 예약어, 스크립트를 나타내는 문자) ※ XSS를 통해 다음과 같은 피해가 발생할 수 있다. - 쿠키 정보 및 세션 ID 획득 - 시스템 관리자 권한 획득 - 악성코드 ..