Hoin's security

CSRF란?공격자가 사용자가 의도하지 않은 작업을 수행하도록 유도할 수 있는 웹 취약점. 작동 조건1. 공격자가 유도할만한 행동이 있어야 한다.-> 비밀번호/ 이메일 변경. 2. 사용자 식별 정보(인증)를 쿠키에 담긴 세션ID 하나에만 의존하는 방식 3. 요청에 무작위 토큰이나 값이 없음 -> 공격자가 쉽게 요청 생성 가능. 예시)1. 피해자가 로그인된 상태(브라우저에 로그인 쿠키를 가지고 있음)로 공격자 페이지를 방문2. 공격자 페이지의 스크립트/폼이 취약 사이트로 요청을 보냄3. 브라우저는 같은 도메인으로의 요청에 대해 자동으로 쿠키를 포함사용자가 수동으로 첨부한 게 아님.4. 서버는 요청에 포함된 세션 쿠키를 보고 정상 사용자가 보낸 요청으로 판단하여 이메일을 변경→ 결과: 피해자의 이메일이 공격자..

Authentication vulnerabilities인증 취약점은 공격자가 민감한 데이터와 기능에 접근하도록 허용할 수 있다.또한 추가적인 공격 표면을 노출해 더 큰 침투로 이어질 수 있다. 이런 이유로 인증 취약점을 식별하고 악용하는 방법, 일반적인 보호 조치를 우회하는 방법을 배우는 것이 중요하다.인증(Authentication)이란 무엇인가?인증은 사용자나 클라이언트의 신원을 검증하는 과정이다.웹사이트는 인터넷에 연결된 모든 사람에게 잠재적으로 노출되어 있기 때문에, 강력한 인증 메커니즘은 효과적인 웹 보안을 위해 필수적이다.1. Something you know (지식 기반 요인)→ 예: 비밀번호, 보안 질문의 답 등2. Something you have (소유 기반 요인)→ 예: 모바일폰, O..

0. 논문 선정 이유전공 수업을 들으며 IMU 센서를 통한 데이터 취득이 가능하다는걸 배웠다. 이를 통해 사용자가 의도하지 않았음에도 수집되는 데이터의 형태를 어떤 관점에서 바라보아야 하는지 고민하게 되었다. 물론 무차별적으로 수집되어서는 안되지만 어떻게 악용될 수 있는가와 인증 시스템으로 보냐의 차이는 알아야 한다고 생각했다. 그러던 와중 우리가 일상생활에서 가장 흔하게 사용하는 스마트 기기인 스마트폰을 활용하여 수집되는 데이터 중 걸음걸이 데이터에 관심이 생겼고 이를 좀 더 탐구해보고자 해당 논문을 선정하게 되었다.1. 연구 개요연구 배경IoT와 웨어러블 기기의 확산으로 사람들은 매일 생체 데이터(걸음 수, 심박수, 수면, 영양 정보 등)를 생성하고 있다.이러한 데이터는 건강관리, 피트니스, 의료 연..

xss 란?검증되지 않은 입력이 브라우저에서 악성 스크립트로 실행될 때 발생하는 취약점.• XSS는 웹사이트가 사용자에게 악성 JavaScript를 반환하도록 조작하는 방식으로 작동• 공격자가 스크립트를 주입 → 서버가 이를 반영 → 사용자의 브라우저가 실행 → 계정 탈취나 조작 발생• XSS를 테스트할 때는 보통 alert() 함수를 사용 (Chrome 92 이후부터는 cross-origin iframe 안에서 alert가막혀, 대신 print() 함수를 사용하기도 함) XSS 공격 유형XSS는 반사형(Reflected), 저장형(Stored), DOM 기반(DOM-based)으로 나뉘며, 각 유형에 따라 전달 경로와 탐지·완화 방법이 다름.Reflected XSS애플리케이션이 HTTP 요청으로 받은 ..