chipkkang9's story

whois 정보보안 교육 1주차의 마지막 과제로, 수업시간에 다뤘던 los.rubiya.kr에 있는 세 가지 문제를 정리하고, 어떻게 막을 수 있을지에 대해서 생각해보겠다. 우선, 들어가기에 앞서서 수업시간에 배운 SQL Injection 해킹기법을 막는 방법을 정리해보자. SQL Injection 해킹 예방법 정리 1. Prepared Statement의 사용 (Pre-compiled된 SQL 구문) - 사실상 가장 많이 사용되는 방법으로서, prepared statement를 미리 컴파일하여 한 덩어리로 묶어두고 사용하는 방법이다. - Prepared statement들은 공격자들로 하여금 쿼리를 변경할 수 없도록 하고, SQL 명령어들이 새로이 침투할 수도 없게 한다. 2. Stored proced..

HTTP 쿠키 (웹 쿠키 or 브라우저 쿠키) 쿠키(cookie) : 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각이다. 브라우저는 데이터 조각(쿠키)들을 저장해 놓았다가, 동일한 서버에 재요청 시 저장된 데이터를 함께 전송한다. 쿠키는 여기서 두 요청이 동일한 브라우저에서 들어왔는지를 판단할 때 사용한다. 이를 이용하면 사용자의 로그인 상태를 유지할 수 있는데, 이는 상태가 없는(stateless) HTTP 프로토콜에서 상태 정보를 기억시켜주기 때문이다. *stateless : 두 요청간에 성공적으로 같은 연결을 이끌어내주는 연결(link)이 없음을 말한다. 쿠키의 사용 목적 세 가지 세션 관리(Session management) : 서버에 저장해야 할 로그인, 장바구니, 게임 스코어 등의 ..