티스토리 뷰
쿠키를 좀 안전하게 주고 받을 순 없을까?
그래서 나온 두가지 쿠키 관련보안 속성
1) httponly 속성
Set-Cookie 응답 헤더에 설정하는 속성
클라이언트(웹 브라우저 등)에서 스크립트(자바 스크립트 등)을 통해 해당 쿠키에 접근하는 것을 차단
악의적인 클라이언트 스크립트를 통해서 클라이언트 정보를 탈취하는 것 : XSS
gedit /etc/php.ini로 들어가서 설정
<script>alert(document.cookie)</script>
httponly=1로 설정 시 스크립트를 통해 탈취 하는 것 안됨
Burp Suite로 웹 프락시 보기
근데 네트워크를 통한 스니핑을 못하게 하는 방법은 무엇이 있을까? -> 암호화 통신
https통신을 이용하는 방식
https통신을 할때에만 세션쿠키를 주고 받자 이게 secure 속성 임
2) secure 속성
"Set-Cookie 응답 헤더"에 설정하는 속성으로 클라이언트(웹 브라우저 등)에서 HTTPS(SSL/TLS) 통신일 경우에만 해당 쿠키를 전송하고 HTTP 통신일 경우에는 전송하지 않는 속성
아스키 코드 헥사값 으로 공백은 0x20 개행은 제어문자로 CRLF(carrage return line feed), 0d0a
요청 라인의 끝을 개행으로 식별
요청헤더 -> 헤더명 : 헤더값 0d0a
빈 라인 0d0a
Host : 요청의 대상이 되는 서버의 도메인명/호스트명과 포트정보
User-Agent : 요청 클라이언트 어플리케이션/OS 정보
Referer : 현재 요청 URL 정보를 담고 있는 이전 문서의 URL 정보
GET , POST 이외의 요청 메소드에 대해서는 사용하지 않는다 -> 보안 가이드 상 취약점 유발해서
GET : 요청 URI로 지정한 자원을 서버에 요청하는 메소드로 요청 메시지 바디가 없으며 필요시 쿼리 스트링(Query String)을 이용하여 제한된 데이터 전송 , 간단한 데이터를 URI 데이터 끝에 담아서 전송
POST : 요청 URI로 지정한 자원에 데이터를 전달하여 이를 처리한 결과를 서버에 요청하는 메소드로 요청 메시지 바디를 포함
HEAD: 서버에 응답시에 응답 메시지 바디를 제외하고 헤더부만 응답해주는 메소드, 주로 검색엔진에서 URL/링크의 유효성을 검증하기 위한 목적으로 사용
Query String(요청 문자열)
'3.어플리케이션보안' 카테고리의 다른 글
| HTTP 프로토콜의 특징 (0) | 2019.10.29 |
|---|---|
| SNMP(Simple Network Management Protocol) (0) | 2019.10.29 |
| HTTP(Hyper Text Transfer Protocol) (0) | 2019.10.28 |
| [Ubuntu18.04]네임서버 소프트웨어BIND 설치 (0) | 2019.10.28 |
| sniffing을 이용한DNS Spoofing / DNS Cache Poisoning (0) | 2019.10.28 |
- Total
- Today
- Yesterday
- vmware esxi #linux-mint
- docker
- 주의사항
- AWS
- IAM
- password
- 보안공부
- 웹 취약점 진단
- DMZ
- HTTP
- VPC
- 라우팅테이블
- 라우터
- 게이트웨이
- 주요정보통신기반시설
- 웹서버
- 까먹음
- 디지털포렌식
- vmwareesxi
- WordPress
- burp suite
- OMG
- 포렌식 도구
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |