MIN

A2 - Brocken Auth & Session Mgmt. 1. Broken Auth - CAPTCHA Bypassing 2. Broken Auth - Forgotten Function 3. Broken Auth - Insecure Login Forms 4. Broken Auth - Logout Management 뒤로 가기를 누르면 세션이 그대로 유지되고있는것을 확인 5. Broken Auth - Password Attacks 6. Broken Auth - Weak Passwords 7. Session Mgmt. - Administrative Portals 8. Session Mgmt. - Cookies (HTTPOnly) 다른 사용자로 ..

CSRF (Cross-Site Request Forgery) : 크로스 사이트 요청 위조공격 목표: 사용자의 권한을 훔치지 않고, 그 권한으로 액션을 실행하는 것.핵심: 웹 브라우저는 사용자가 로그인해둔 사이트(은행, 쇼핑몰 등)에 요청을 보낼 때, 인증 정보(쿠키)를 묻지도 따지지도 않고 자동으로 함께 보낸다.공격: 공격자는 이 자동 전송되는 쿠키를 이용해, 피해자가 무심코 열어본 다른 웹페이지에 위장된 요청을 숨겨 놓는다.내가 은행 앱에 로그인(쿠키 저장) 해 놓은 상태에서, 해커가 보낸 수상한 문자(악성 웹페이지)를 실수로 누르면, 내 은행 계좌로부터 해커에게 이체되는 요청이 나도 모르게 은행 서버로 보내지는 것과 같다. PoC (Proof of Concept) 의 역할PoC는 위 공격이 실제로 가..