SQL Injection - 웹사이트의 보안상 허점을 이용해 데이터베이스를 공격하는 해킹 기법 - SQL 쿼리에 사용자의 입력 값이 삽입돼 사용자가 원하는 쿼리를 실행할 수 있는 취약점 대응 방법 - ORM과 같이 검증된 SQL 라이브러리를 사용하는 것이 권장된다. - ORM(Object Relational Mapper): SQL 쿼리 작성을 돕기 위한 라이브러리로, 사용자의 입력 값을 스스로 escape 하고 쿼리에 매핑시킨다. - 이를 통해 개발자가 직접 쿼리를 작성하는 Raw 쿼리를 사용하지 않아도 기능 구현이 가능해 상대적으로 안전하다. 공격 기법 Logic - 논리 연산을 이용한 공격 방법 - 예제) 로그인 기능 사용자가 아이디와 패스워드를 입력해 서버에 전송하면 서버는 데이터베이스에서 해당 데..

2. 데이터베이스의 목적 - 데이터베이스에 정보를 작성하면 웹사이트에 올라가 많은 사람들이 볼 수 있음. - 웹에서 정보를 작성하면 데이터베이스에 저장됨. 4. MySQL의 구조 - 표(table): 데이터의 기본 저장 구조 - 데이터베이스(스키마): 표의 연관된 데이터들을 그룹핑해서 정리할 때 사용하는 일종의 폴더 - 데이터베이스 서버: 스키마를 저장 및 운영하는 프로그램 5. 서버접속 - ./mysql -uroot -p (p 다음에 바로 비밀번호를 입력해도 되지만 보안상 안전하지 않기 때문에 엔터 치고 비밀번호 요구할 때 입력해야 함) - root: 기본 유저. 관리자 6. 스키마의 사용 - 데이터 생성: CREATE DATABASE menagerie; - 데이터 삭제: DROP DATABASE me..

- XSS(Cross-site Scripting)는 웹 상에서 가장 기초적인 공격 방법으로, 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. - 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다. - 자바스크립트를 사용하여 공격하는 경우가 많다. - 여러 사용자가 접근 가능한 게시판 등에 코드를 삽입하는 경우가 많고, 메일과 같은 매체를 통해 전파되기도 한다. - HTML을 사용하는 것이기 때문에 Text-Only 게시판이나 BBCode를 이용하는 위키위키 등에서는 XSS가 발생하지 않는다. - {{{#!html HTML}}} 을 이용해서 HTML 태그를 사용할 수 있으므로 취약점이 있을 수 있다..