통합검색
· 마을서비스란?  · 포럼마을  · 일반마을  · 테마마을  · 마을랭킹  · 활동왕
· 덱스퍼트란?  · TECBOX   · PRSBOX   · 이용안내  
· DEXT제품군  · 솔루션베이  · S/W & ESD 컴포넌트
· 프로그램베이
· LiveSeminar  · LiveConference
Visual InterDev(ASP) 포럼마을 입니다.
  마을등급 Visual InterDev(ASP)   이 마을은 포럼마을 입니다이 마을은 자유가입제 마을 입니다 마을소개 페이지로 이동 전입신청
마을촌장촌장 비사모 주민 2429 since 2006-12-29
우리마을 공지사항
질문&답변
강좌&팁
자유게시판
자료실
앨범
개인게시판
마을 게시판
등록된 마을 게시판이
없습니다.
랑데브 게시판
칼럼 게시판
개발자 고충상담
Dev Talk
자유토론방
벼룩시장
재나미 우스개
구인/프로젝트 정보
사람인 채용 게시판
  고객지원 게시판
마이 데브피아
 나의 e-Money 내역
 활동왕 My Page
 스크랩한 게시글보기
 쪽지관리
 주소록관리

 강좌&팁
 PHP, 스니핑과 스푸핑, 세션 하이재킹에 대해서  | Other 2011-05-09 오후 9:28:29
 nomargin  nomargin님께 메시지 보내기nomargin님을 내 주소록에 추가합니다.nomargin님의 개인게시판 가기 번호: 1934 추천:0  / 읽음:7,338

 

PHP에만 해당되는 것으로 알려져 있었죠?!

 

스니핑은 미국 은어라서 저도 스펠링은 정확하게 모릅니다만

 

스니핑은 Sneeping 이고, 스푸핑은 Spooping로 알고 있습니다.

 

스니핑은

 

HTML의 IMG 또는 IMAGE Tag 에서

 

src 속성에 웹프로그램을 지정하면

 

그 프로그램이 실행된다는 것입니다.

 

그런데

 

테스트해보니까 이미지 경로를 잘못 지정했을 때처럼

 

작은 이미지가 나오고 웹프로그램은 실행되지 않았습니다.

 

그리고 스푸핑은 다른 말로 세션 하이재킹으로 알려져 있습니다.

 

스푸핑은 세션 아이디가 웹브라우져와 서버 사이에서

 

post를 get으로 지정했을 때에도 보이지 않는

 

웹서버가 세션아이디를 덧붙여서 클라이언트 즉 웹브라우져로 보내고

 

웹브라우져에 떠 있는 폼을 서브밋하면

 

세션아이디가 자동으로 추가되서 서버로 보내지는 것을 이용해서

 

FORM Tag의 action속성을 원래대로가 아니라

 

다른 곳의 프로그램으로 바꿔서 서브밋을 하면

 

세션아이디를 가로챌수 있다는 것입니다.

 

그런데 이걸 알아두십시오.

 

세션아이디와 유저의 컴퓨터의 IP Address와 접속하려는 도메인은

 

서버 푸쉬 기술로 클라이언트가 즉 브라우져가 자동으로 매번 서브밋을 하거나

 

링크를 클릭할때 서버로 보내집니다.

 

세션아이디는 서버가 보내준 것을 그대로 다시 보내는 것입니다.

 

그런데 웹프로그램을 편집해서 보낸다는 것입니다.

 

action을 다른 곳으로 지정한다는 것은요.

 

그래서 그렇게 다른 곳으로 지정해서 서브밋을 하면

 

세션아이디가 남아있지 않다는 것입니다.

 

편집을 해서 action을 고쳐서 서브밋을 한다는 것은

 

브라우져의 파일메뉴의 열기로 페이지를 새로 열어서

 

보낸다는 것입니다.

 

그래서 서버로 푸쉬될 정보가 달라져서 보내집니다.

 

세션아이디는 없어지고요.

 

그래서 스푸핑 다른 말로 세션 하이재킹은 잘못된 것이고

 

테스트를 안해본 인간들이 하는 말이라는 것입니다.

 

프로그래밍에 대한 것을 테스트를 해봐야 할텐데 말입니다.

 

스니핑과 스푸핑, 세션 하이재킹에 관한 것이었습니다.

 

그리고

 

만약 세션 아이디를 가로챌수 있다면

 

그 세션 아이디로 뭘할수 있나도 생각해봐야 합니다.

 

다른 곳으로 세션 아이디를 만약 보낼수 있다면

 

세션아이디를 만든 그 사이트에서 뭘 할수 있나입니다.

 

유용하게 되길 바랍니다.

 

 

박진남

 

 

[코멘트] 궁금
2012-06-18 16:52
 sakuras2  sakuras2님께 메시지 보내기sakuras2님을 내 주소록에 추가합니다.sakuras2님의 개인게시판 가기 
스니핑은 Sneeping 이고, 스푸핑은 Spooping로 알고 있습니다.

라고 하셨는데 정확한 글 맞나요..

작성하신 글이 엄청 많은데.. 이런 글이 있으면 의심이 되서 참 씁쓸하네요
저장 취소
코멘트쓰기
  좋음   놀람   궁금   화남   슬픔   최고   침묵   시무룩   부끄럼   난감
* 코멘트는 500자 이내(띄어쓰기 포함)로 적어주세요.
목록 보기   지금 보고 계시는 글을 회원님의 my Mblog >> 스크랩에 넣어두고 다음에 바로 보실 수 있습니다.  
회사소개  |   개인정보취급방침  |  제휴문의  |   광고문의  |   E-Mail 무단수집거부  |   고객지원  |   이용안내  |   세금계산서
사업자등록번호 안내: 220-81-90008 / 통신판매업신고번호 제 2017-서울구로-0055호 / 대표: 홍영준, 서민호
08390, 서울시 구로구 디지털로32길 30, 1211호 / TEL. 02_6719_6200 / FAX. 02-6499-1910
Copyright ⓒ (주) 데브피아. All rights reserved.