김승현

XML이란?Extensible Markup Language (XML)은 데이터를 저장하고 전송하기 위해 설계된 마크업 언어개발자가 임의의 데이터 구조를 텍스트 형식으로 정의하고 표현할 수 있도록 하며, HTML과 유사한 트리 구조       vickieli      XML은 사용자 정의 태그 이름을 사용하기 때문에 XML 문서를 자유롭게 구조화 가능-> XML 형식은 웹 애플리케이션의 인증, 파일 전송, 이미지 업로드, HTTP 데이터를    클라이언트와 서버 간에 전송하는 다양한 기능에서 널리 사용  또한 XML은 문서 형식 정의(DTD)를 포함할 수 있음이러한 DTD는 외부 소스에서 로드하거나 DOCTYPE 태그 내에 문서 자체에 선언 가능함예시]>&file; XML 엔터티는 프로그래밍 언어의 변수처..

보호되어 있는 글입니다.

IDOR(Insecure Direct Object References)란?IDOR는 사용자가 객체 ID, 객체 번호 또는 파일 이름을 직접 참조하여 자신에게 속하지 않은 리소스에 접근 가능한 것과 같이 본질적으로 누락된 접근 제어를 의미함 가상 시나리오example.com은 채팅 서비스이고 사용자의 아이디 및 비밀번호는 사이트가 저장하고 있음https://example.com/messages?user_id=1234는 1234라는 아이디를 가진 사용자의 채팅기록을 볼 수 있는 URL임이때 1234를 1233으로 고칠 수 있는데 이때 따로 접근 제어가 없다면 이는 IDOR 취약점이 존재하는 것임 IDOR 취약점의 영향접근하면 안 되는 정보 읽기임의의 정보 수정 및 삭제데이터베이스 객체 외 리소스 또한 영향을..

디렉터리 서비스란? 관리자가 자신의 환경을 논리적, 계층적으로 구성, 관리, 제어 및 액세스할 수 있도록 하는 시스템 소프트웨어이며,객체에 대한 정보를 객체 유형 및 속성별로 쿼리하고 관리할 수 있는 중앙 집중식 보안 데이터베이스 역할을 함더보기온프레미스 환경에 대한 리소스 관리 및 거버넌스를 중앙 집중화하는 데 탁월함→ 다른 시스템/프로그램 작동을 위한 밑바탕이 되곤 함 내부 사용자, 그룹 및 정책을 통해 디렉터리의 개체에 대한 액세스 및 권한을 관리함→서버, 스토리지 및 네트워크 리소스에 대한 보안 액세스를 제공함  도메인의 ID를 인증 및 승인하고 이를 보호하는 중앙 위치를 제공함→관리를 단순화하고 추가 보안 계층 ​​및 문제를 제공함 AWS 디렉터리 서비스는 특정 상황 및 환경에 따라 여러 디렉터..

클릭재킹이란?HTML의 태그를 활용하는 공격 기법임은 하나의 웹 페이지 내에 다른 웹 페이지를 삽입할 수 있도록 해주는 기능을 제공함 iframe태그의 사용 예시온라인 광고인터넷 자원 임베디드동영상, 오디오 etc... 위처럼 유용하게 사용할 수 있으나 보안 취약점( ClickJacking)이 존재할 수 있음-> 이를 방지하기 위해 X-Frame-Options 헤더를 설정하여 특정 사이트에서의 iframe을 제한할 수 있음 클릭재킹 가상 시나리오example.com은 은행 웹사이트로, 사용자가 돈을 송금할 수 있는 페이지를 가지고 있음https://www.example.com/transfer_moneyhttps://www.example.com/transfer_money?recipient=RECIPIEN..