20210707 TIL

Facts

• 그림으로 배우는 HTTP basic 스터디 마무리
• 모던 자바스크립트 튜토리얼 공부 
• 알고리즘 문제 - 올바른 괄호 

Feelings

• 뭔가 좋은 학습법을 추천받아 실행해보니 정말 좋았다. 이렇게 꾸준히 중간중간 생각을 돌아보며 기록하는 연습을 해나가야겠다. 

Finding

강제 브라우징

URL에 디렉토리가 아닌 파일명까지 모두 입력해 엑세스가 필요한 디렉토리에 엑세스 없이 바로 접근할 수 있다.

-> URL로 디렉토리에 바로 접근하는 것 자체의 문제점도 있는듯?

 

메세지 에러 노출

웹 애플리케이션 - 사용자 정보가 없습니다. 등 직접적인 에러 메세지로 사용자의 유무를 유추해낼 수 있다. 엑세스 오류입니다라고 써야하는데 (이건 좀 예시가 별로인듯)

데이터베이스 - 데이터 베이스 오류는 내가 무슨 데이터베이스 언어를 사용하는지와  그 안에 공격자에게 유리한 정보를 노출하는 에러등을 배출할 수 있다. 

 

세션 취약성 공격 

세션 하이잭 : 유저의 세션을 어떤 경로든 얻어서 그것을 이용해 유저인 것처럼 사용한다. 

세션 픽세이션 : 공격자가 사이트로부터 세션아이디를 얻고 함정을 이용해 유저가 그 세션 아이디로 인증하게 만들어서 인증된 세션아이디로 공격자가 유저인척 사용한다.  

세션 어댑션: 등록되지 않은 세션 아이디도 받아들이기 때문에 공격자가 세션아이디를 마음껏(PHP 등으로) 만들고 그것을 유저인증으로 받아서 인증받은 유저의 세션아이디 인 척 사용한다. 

크로스 사이트 리퀘스트 포저리 : 유저가 인증을 한 후 함정이 발동해 서버에 전송해 유저의 개인 정보, 상태등을 변경시켜 버리는 공격. 물건 구입, 상태(화면) 변경등 가능하다. (이건 사이트 자체에 함정을 발동시킬 요소가 포함이 되는거같다)

 

 

기타: 

패스워드 크래킹

패스워드를 무차별적으로 대입해서 알아내는 것과 

사전으로 만들어 다 대입해보는 방법이 있다. 

암호화된 경우에도 레인보우 테이블 사용

클릭재킹:  클릭할 만한 사이트 위에 투명으로 다른 동작을 하는 페이지를 덮어씌워서 클릭하면 공격자가 함정으로 둔 URL로 이동하게 된다. 

백도어: ???

 

웹을 지탱하는 기술을  URI(전세계의 온갖정보를), HTML(정보를 표현하는 문서형식),HTTP(라는 프로토콜로 8가지 메서드를 통해 가져오고 내보낸다), 세가지이다. 세가지 모두의 특징은 짧고 간단하다는 것. 이 세계가 지탱하고 있는 정보 시스템은 

하이퍼미디어 시스템(미디어 정보를 링크로 연결해서 비 선형적으로 선택가능하게 한다) , 분산 정보 시스템( 여러대의 컴퓨터가 정보를 일원화해서 관리 할 수 있게, 정보 처리를 분산시킬 수 있게  하는 시스템이다.) 

 

가비지 컬렉터

왜 할까? 데이터 낭비를 막아 최적화 하기 위해 

어떻게?

"루트"에 연결되어있는 노드들에 순차적으로 접근해 도달하지 않는 것을 삭제한다. 

오래된 것(오래 사용하는 것)과 새로운 것(금방 사용되고 더이상 사용되지 않는것)을 구분해 오래된 것의 추적을 덜 한다.

 

 

this 

자바스크립트의 this는 런타임에서 결정이 된다. 

보통은 해당 객체를 가리킨다.

가리키는 객체가 없다면 전역객체를 가리킨다.  

 

옵셔널 체이닝 ?. -> 왼쪽이 존재 한다면 평가 실행, 존재하지 않는다면 undefinded 반환

 

Affirmation

• 나는 기록을 잘 하는 사람이다.