728x90 전체 글103 XXE - 7. Modern REST framework [ 이론 ] Assignment solution 이전 문제가 좀 해결이 틀린 듯 하다. POST /WebGoat/xxe/simple Content-Type: application/xml &root; 불러오는 user가 &root여야 한다. POST /WebGoat/xxe/simple Content-Type: application/xml &root; 추가로 이런식으로 하면 { "lessonCompleted" : false, "feedback" : "Sorry the solution is not correct, please try again.", "output" : "...javax.xml.stream.XMLStreamException: ParseError at [row,col]:[1,44]\\nMessag.. 2022. 2. 19. XXE - 4. Let's try [ 이론 ] Concept 이 과정에서는 XML 외부 엔티티 공격 수행법과 XML 외부 엔티티가 악용 및 보호되는 방법에 대해 설명한다. Goals - XML에 대한 기본적인 지식을 갖는다. - XML parser 작동 방식에 대해 이해할 수 있다. - XXE 공격 수행과 이에 대한 대응법을 배운다. What is an XML entity? XML Entity는 XML 문서를 구문 분석할 때 구문으로 대체되는 태그를 정의할 수 있다. 기본적으로 3가지 type의 엔티티가 있다. 1. 내부 엔티티 2. 외부 엔티티 3. 파라미터 엔티티 엔티티는 DTD(Document Type Definition)에서 만들어진다. 예시에서 시작하자 : XML 문서 구문 분석기에 의해 처리될 때 볼 수 있듯, "js" 엔티티.. 2022. 2. 19. JWT tokens - 10. Refreshing a token [ 이론 ] Refreshing a token Access Token을 새로고침하는 좋은 전략은 중요하다. 이 문제는 Bugcrowd라는 프로그램에서 내부 bug bounty를 통해 발견한 취약점을 기초로 두었으며, 여기서(https://emtunc.org/blog/11/2017/jwt-refresh-token-manipulation/) 확인 할 수 있다. [ 문제 ] Assignment 작년 로그파일은 다음(과 같다. Tom에게 책값을 내도록 할 수 있나? 194.201.170.15 - - [28/Jan/2016:21:28:01 +0100] "GET /JWT/refresh/checkout?token=eyJhbGciOiJIUzUxMiJ9.eyJpYXQiOjE1MjYxMzE0MTEsImV4cCI6MTUyN.. 2022. 2. 14. JWT 개념 정리 JWT - Json Web Token의 약자 - 모바일 · 웹 사용자 인증을 위해 사용하는 암호화된 토큰 - Request에 JWT를 함께 전송 JWT 구조 - Request에 함께 보내지기 때문에 URL에서 파라미터로 사용 가능하도록 URL_Safe 한 Base64 인코딩을 함 [Header].[Payload].[Signature] Header - 토큰의 타입 / 해시 암호화 알고리즘 { "typ" : "JWT", "alg" : "HS256" } Payload - 토큰에 담을 정보 - 이 영역 정보의 단위 : Claim (클레임) - name/value 한 쌍 - 클레임의 종류 : 등록된(Registered) 클레임, 공개(Public) 클레임, 비공개(Private) 클레임 { "sub" : "123.. 2022. 2. 11. 이전 1 ··· 7 8 9 10 11 12 13 ··· 26 다음 728x90
