보호되어 있는 글입니다.
ConceptCSRF(Cross-site request fogery, 교차 사이트 요청 위조)는 원클릭 공격 또는 세션 라이딩으로도 알려져 있으며 XSRF로도 불린다. 이는 사용자가 신뢰하는 웹 사이트에서 허가되지 않은 명령이 전송되는 방식의 공격이다. XSS와 달리 CSRF는 사이트가 사용자의 브라우저를 신뢰한다는 점을 악용한다. 그럴듯한 웹 페이지를 만들어서 이용자의 입력을 유도하고, 이를 은행이나 포털 사이트 등으로 전송해 마치 이용자가 동의한 것 같은 요청을 발생시킨다. 이용자의 세션 쿠키를 사용할 수 있다면, 이용자의 권한으로 웹 서비스의 기능을 사용할 수 있다. CSRF는 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점이다. 공격자는 이용자의 권한으로 서비스를 사용해 이..
관련 개념테스트 하려는 대상(System Under Test)을 SUT라고 한다. 유저의 어떤 행동에 대한 결과를 테스트하는 경우 유저는 SUT다. 예를 들어 유저가 어떤 글을 저장하는 로직에 대한 테스트 코드가 있다면 SUT는 유저다. 저장을 하는 행위가 SUT라고 생각하기 쉽지만 SUT는 테스트하고자 하는 주요 대상이 되는 Unit을 의미한다. 테스트는 행동에 집중해야 한다. 유저가 시스템을 사용하는 User Story를 생각해야 하고, 시나리오를 고려해야 한다. 이를 지키기 위해 테스트 코드를 작성할 때 given-when-then 뼈대를 사용하기도 한다. 어떤 상황이 주어졌을 때(given), 어떤 행동을 하면(when), 결과가 이러해야 한다(then)는 구조다. 대상 함수의 구현을 호출하지 ..
- Total
- Today
- Yesterday
- linux
- React
- 회고
- XSS
- java
- Database
- CSRF
- oauth2
- DP
- WEB
- Transaction
- PS
- Bandit
- sql injection
- test
- Spring
- Misc
- sqli
- webgoat
- opengraph
- Dreamhack
- JPA
- askers
- WarGame
- Framework
- math
- Spring Security
- SEO
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |