HTML 인젝션(Injection) 이론

안녕하세요-!!

이번에는 HTML 인젝션에 대해서 알아볼거예요😎

신나죠~~?? 저도 너무 너무 신나요-!!

오늘은 어떤 지식을 보따리에 담을지 다함께 출발~~!!

 

그전에-!!!

Injection에 대해서 알아야겠죠??

간단하게 알고 HTML인젝션에 들어가 보아요>.<

 

 

인젝션(Injection)이란?

공격자가 악의적으로 넣은 쿼리문을 웹 애플리케이션에서 데이터베이스의 정상적 쿼리로 인식하고 실행할 때 발생하는 취약점입니다. 따라서 데이터를 입력받거나 정보를 요청하는 곳에서 발생합니다. 종류로는 SQL인젝션, HTML인젝션, OS command 인젝션, LDAP 인젝션 등이 있습니다.

 

이제 HTML 인젝션에 대해서 알아보도록 하겠습니다.

 

 

HTML Injection이란?

취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격입니다. 사용자가 연결요청한 페이지에 악의적인 HTML 태그를 삽입하여 의도하지 않은 내용을 보게 하거나 악의적인 사이트에 연결되도록 하는 공격기법입니다.

 

 

HTML 인젝션은 3가지의 기법을 가지고 있습니다.

① 반사 기법(GET) ② 반사 기법(POST) ③ 저장 기법

 

---

 

(1) 반사기법

: URL에 악의적인 HTML 태그를 삽입하여 링크를 클릭한 사용자의 PC에서 HTML 태그가 실행되게 하는 공격입니다.

출처 : https://leeminki.github.io/webhack/2019/01/19/WebHack_Study_2.html

 

1) GET (반사기법)

 

* Get 방식이란?

HTTP프로토콜을 이용해서 서버에 무언가를 전달할 때 사용하는 방식 중 하나입니다. Get방식은 값을 헤더를 사용하여 정보를 전송합니다. 따라서 url 뒤에 이어붙어서 전송되기 때문에 전송할 수 있는 데이터 양은 제한적입니다. 사용자가 입력한 값을 바탕으로 정보를 가져오는 역할을 합니다.   ex) 사용자가 로그인을 할 때 get방식으로 사용되어 입력된 정보를 바탕으로 회원의 정보를 가져옴

 

 

2) POST (반사기법)

 

* POST 방식이란?

HTTP프로토콜을 이용해서 서버에 무언가를 전달할 때 사용하는 방식 중 하나입니다. POST방식은 값을 body 안에 숨겨서 전송합니다. 따라서 get방식과는 달리 많은 양의 데이터를 전송할 수 있습니다. 사용자가 입력한 값을 바탕으로 작업을 수행하는 역할입니다.   ex) 사용자가 게시물을 작성할 때 post 방식이 이용됨

 

(3) 저장기법

 

: 악의적인 HTML 태그를 데이터베이스에 저장하여 저장된 태그 내용을 확인한 사용자의 PC에 HTML 태그가 실행되게 하는 공격입니다.

ex) 공개된 게시판에 악의적인 HTML 태그를 올리면 많은 사용자를 대상으로 공격가능

 

출처 : https://leeminki.github.io/webhack/2019/01/19/WebHack_Study_2.html

 

지금까지 HTML인젝션에 대한 이론 내용이었습니다.

이론도 정말 흥미로운 내용 많죠?><

다음에는 HTML인젝션 실습으로 찾아올게요-!!😍

bye-!!🖐