정보보안 스터디 - 27주차 7일 - AJAX bWAPP 실습1

 

 

 

rest api는

url 이 아니라 데이터를 제공하는 json 즉 XHR 또는 자바스크립트입니다.

 

but 단점은 2가지가 있습니다.
over fetching
영화 제목만 원하는데 추가정보까지 주기 때문에 나머지는 필요없는정보이므로 로딩속도 지연됩니다.

 

underfetching
2개가아니라 원하는 요청만 받길 원합니다.

 

이 두가지를 모두해결하는 게 graphql입니다.

 

 

영화 검색을 구현할 때

완전 초기 버전인 새로고침을 하면서 서버의 응답을 받아오는 방법이 있고

키보드 타이핑에 맞춰서 검색어를 실시간으로 json을 응답하는 방법이 있고

 

 

입력하면 페이지2.php로 넘어가 GET방식으로 검색어를 검색해서 json으로 응답해주는 형식이 있습니다.(injection은 GET방식에다가 하면 됩니다.)

이 때 당연히 페이지1.php는 새로고침을 하지 않습니다.

 

두가지 모두 json이라고 할 수는 있지만

실시간으로 주는건 ajax/json이고 그냥 주는건 json에 가깝다고 할 수 있습니다. 

 

 

 

 

가장 헷갈리는 

SSRF, XXE, AJAX(json/xml)에서의 exploit을 공부하기 위해서는 bWAPP에서 기본부터 다져야겠습니다.

또한 확실히 하기위해 한 번 ajax를 구현해보는 것이 좋습니다.