ㅡ.ㅡ

※ 검증되지 않은 리다이렉트 취약점 다른 페이지로 연결(리다이렉트, 포워드)하기 위한 목적 페이지를 결정하기 위해 신뢰되지 않은 데이터를 사용하는데 이에 대한 적절한 검증이 없다면 공격자는 리다이렉트되는 파라미터 값을 변조 후 해당 링크를 통해 사용자를 피싱, 악성코드 사이트로 연결시키며 권한이 없는 페이지에 접근하는데 사용할 수 있는 취약점이다. ※ 실습 url파라미터를 통해 외부 페이지로 이동하는 웹 페이지의 기능과 소스코드를 확인할 수 있다. ▼ 리다이렉트 되는 URL 파라미터 값을 네이버 페이지로 변경 후 요청 후 OK 버튼을 클릭한 결과로 로그를 확인해 보면 네이버 페이지로 이동되는것을 확인할 수 있다. ▼ ※ 대응방안 리다이렉트되는 파라미터의 입력 값을 안전한 URL목록을 생성 후 화이트리스트..

X-FRAME-OPTION HTML 인젝션을 통해 클릭 재킹 공격에 활용되는 , , 태그를 통해 외부 페이지를 삽입하였을 때 외부 페이지가 렌더링되지 않도록 방지하는 HTTP 응답 헤더 이다. 속성 내용 DENY 프레임을 표시 하지 않음 SAMEORIGIN 동일한 도메인의 프레임만 표시 ALLOW-FROM 지정한 도메인의 프레임만 표시 X-XSS-Protection 브라우저에서 제공하는 기능으로 XSS 공격을 감지 할 때 페이지 로드를 중지시키는 헤더이다. 속성 내용 0; XSS 필터링 비활성화 1; XSS 필터링 활성화 1; mode=block XSS 필터링 활성화 후 XSS 공격 감지 시 렌더링 중단 1; report= XSS 필터링 활성화 후 XSS 공격 감지 시 렌더링 중단 후 보고

세션 아래 코드는 세션을 사용하여 페이지를 요청할 때 쿠키를 따로 전송하지 않고 세션에 저장된 쿠키를 사용하여 페이지를 요청하는 코드이다. import requests # 세션 생성 session = requests.Session() # 폼에 데이터 입력 + 세션 사용하여 요청하기 params = {"username":"ekwkqk12", "password":"password"} req_s = session.post("http://pythonscraping.com/pages/cookies/welcome.php", data=params) # 세션에 저장된 쿠키 데이터 확인 print("[+] 쿠키에 저장된 데이터 ") print(req_s.cookies.get_dict()) # 쿠키 값이 포함된 세션을 사..