정보보안 스터디 - 31주차 5일 - 하드코딩 소스코드 노출 등

 

1

json 은 \" 사용하면 "를 벗어나지 않고 사용가능합니다.

script가 적용될 때도 있고 들어갔지만 안될 떄도 있습니다.

\\u003c 유니코드로 확인되지만 스크립트가 만들어지는 경우도 있습니다. 

 

2

겉으로 봤을 때는 ** 처리되어있지만 jsoin형식으로

전화번호, 비밀번호 해시값(SHA256)이 하드코딩 되서 소스코드에 노출 되는 경우도 잇습니다.

이래서 소스코드를 봐야하는 이유입니다.

 

 

3

cheat sheet 추가

<img src=x onerror=prompt(document.URL)>
<img src=x onerror=prompt(document.domain)>

<textarea onfocus=prompt(document.URL) autofocus></textarea>

textarea autofocus 안되는 경우도 있습니다. 그 때는 클릭해주면 됩니다. 

> 차라리 

<img src=x onerror=alert(1) ></img>
<img src=x onmousover=alert(1) ></img>

로 하는 게 낫습니다.

 

 

4

아예 로그인안하기에는 세션에서 막아놓고

유저세션으로 변경 후 메뉴,유저 추가/삭제 모두 가능합니다. 내역도 안남을 수 있습니다.

 

 

자산 중요도

3단계

DB서버 =VM서버 =WAS=key서버 

2단계

관제 모니터링 서버