반응형 개념4 클릭 재킹(Click jacking) 개념, 대응방안, 실습 [클릭 재킹(Click jacking) 개념] 사용자가 인식하지 못하게 웹페이지의 특정 요소를 조작하도록 유도하는 공격 방식이다. 페이지를 iframe으로 투명하게 불러와놓고 버튼이나 링크(계정탈퇴, 계좌이체)를 이름을 바꿔서("클릭하세요"와 같은 모양새) 클릭하도록 사용자를 유도하는 Client-Side 공격이다. OWASP Top-10 취약점의 4위에 해당하는 Insecure Design(안전하지 않은 설계)에 해당하는 취약점이다. [대응방안] X-Frame-Options 보안 헤더를 DENY 또는 SAMEORGIN으로 설정content-security-policy를 none 또는 self로 설정Framing buster scripts 작성 - https://cheatsheetseries.owasp... 2024. 7. 29. 멀티캐스트, 유니캐스트, 브로드캐스트 개념 [멀티캐스트]1대의 출발지로부터 LAN의 특정한 여러 대의 PC를 목적지로 하는 '1대 다' 통신한번에 복수의 단말에 송신할 수 있으므로 통신 효율이 좋아서 라우터끼리의 통신이나 멀티미디어 파일 배포 등에 이용 [유니캐스트]1대의 출발지로부터 1대의 목적지로 패킷을 보내는 '1대 1' 통신 [브로드캐스트]1대의 출발지로부터 LAN에 연결된 모든 PC를 목적지로 하는 통신브로드캐스트를 하게 될 경우 MAC주소는 FF-FF-FF-FF-FF-FF를 주소로 이용네트워크 상의 기기를 탐색하는 경우 이용 아주 쉽군 :D 2024. 5. 25. HSTS(HTTP Strict-Transport Security, RFC 6797) 개념 [개념] 웹 사이트가 오직 HTTPS를 통해서만 접근이 가능하다고 선언하여, 보안 연결을 전제로 하는 상호작용을 지시하고 강제하는 보안 정책 매커니즘 [구현 방법] 웹 서버 응답 헤더로 Strict-Transport-Security 헤더 설정 Strict-Transport-Security: max-age=31536000; preload; includeSubDomains //HSTS 정책을 31,536,000초(1년) 동안 하위 URL 모두 적용한다는 의미 위 사진과 같이 응답헤더에 포함되어있는 것을 확인 가능 브라우저가 HTTPS응답에서 위 헤더를 확인하게 되면 max-age에 명시된 시간만큼 '해당 도메인은 HTTPS로만 연결해야 한다'라고 기억하게 됨 그리고 이후 HTTP 연결이 시도된 경우에는 30.. 2024. 3. 20. 127.0.0.1의 의미_루프백(loopback), 로컬호스트(localhost) 주소 프록시 도구를 설정할 때 우리는 127.0.0.1 의 IP주소로 설정하게 된다. 이 주소는 무엇일까. 네트워크에서 127.0.0.1 이 주소를 특수한 주소로 지정하고 있다. 루프백(loopback)주소, 로컬호스트(localhost) 주소라고도 불린다. 루프백(loopback): 전기신호의 라우팅, 디지털 데이터 스트림 등의 흐름이 의도적인 가공이나 수정 없이 원래의 장치나 장비로 돌아가는 것. 127.0.0.1을 목적지 IP로 설정하면 본인이 패킷을 다시 받게된다. 그래서 루프백 주소라고 부르는 것이다. 간단하게 내 컴퓨터 주소라고 생각하면 된다. 다른 컴퓨터에서는 이 주소에 접근할 수 없다. (내 IP가 192.168.16.16(임의의 값 지정) 이고 127.0.0.1로 패킷을 보낸다고 하면 내 IP.. 2024. 3. 5. 이전 1 다음 반응형
