선 밖에 선 자유인

http://www.digitalattackmap.com

2012년 02월

출처: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet Contents [hide] 1 Introduction2 Tests2.1 XSS Locator2.2 XSS locator 22.3 No Filter Evasion2.4 Image XSS using the JavaScript directive2.5 No quotes and no semicolon2.6 Case insensitive XSS attack vector2.7 HTML entities2.8 Grave accent obfuscation2.9 Malformed A tags2.10 Malformed IMG tags2.11 fromCharCode2.12 Default SRC tag to ..

HTML 5 시큐리티 Cheat Sheet http://html5sec.org/ https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Offline_Applications

// anti XSS // ASP 코드 function checkBadString(s) s=trim(s) s=replace(s, "", "&gt") s=replace(s, "cookie", "cook1e") s=replace(s, "document", "d0cument") s=replace(s, "script", "scr1pt") s=replace(s, CHR(32), " ") s=replace(s, CHR(34), "") s=replace(s, CHR(39), '") s=replace(s, CHR(23), "") s=replace(s, CHR(10) & CHR(10), " ") s=replace(s, CHR(10), " ") checkBadString=s end function // 숫자만 들어..

문자입력 base64 encoded data (apply); UTF-8 encoded data (apply); URL Encoded data (apply);

출처: http://j07051.tistory.com/554 문 자 설 명 예 제 \ 다음에 오는 문자를 특수 문자, 리터럴, 역참조 또는 8진수 이스케이프로 표시합니다. "\\"는 "\"를 찾고 "\("는 "(" 찾습니다. ^ 입력 문자열의 시작 부분에서 위치를 찾습니다. ^abc -> abcdef ^a?bc -> bcdef, abcdef $ 입력 문자열의 끝 부분에서 위치를 찾습니다. t$ -> eat 동$ -> 홍길동 * 앞의 문자나 부분식을 0개 이상 찾습니다. ab* -> ab, aabb, abb, aaaa ab*d -> ad, abd, abbbbd + 앞의 문자나 부분식을 1개 이상 찾습니다. zo+ -> zo, zoo ? 앞의 문자나 부분식을 0개나 1개 찾습니다. te?n -> ten, t..

쉽게 디컴파일 되는 자바 바이트 코드를 해석하기 어렵게 하기 위한 방법으로 다음과 같은 방법이 있다. - 의미 있는 클래스, 메소드, 멤버 변수명을 a,b,c, 등 의미없는 표현으로 치환- 아이템의 이름을 new 나 int 와 같은 자바 키워드로 치환- 디버깅 정보, 메타 정보들을 바이트코드에서 제거- 여러 종류의 불필요한 코드 첨가- 스택 추적을 사용하여 코드를 통해 수행되는 경로가 매우 꼬여있게 만든다. - 접근할 수 있는 문장이나 반환문이 없는 코드 경로 등 허용되지 않는 프로그래밍 방식 사용 위와 같은 기법에 대한 대응 기법 - 공용 메소드를 위한 애플릿은 소스를 완전히 이해햐지 않고도 검토 가능. 자바스크립트에서 직접 호출할 수 있는 메소드가 무엇인지, 특성은 무엇인지를 통해 여러가지 입력 값을..