DOM(Document Object Model) : HTML, XML 문서를 객체로 구성한 객체 지향 모델이다. 자바스크리브 같은 스크립팅 언어느 DOM을 통해 객체에 접근할 수 있다.

사용자 ID가 DB에 있다 or 없다 유무만 결과로 표시되는 걸 볼 수 있다. 앞에 내용에서 실습한 SQL Injection에서는 DB와 Table의 구조를 알아낼 수 있지만 이번 실습은 그 결과를 화면에 표시해주지는 않는다.

사용자 입력값에 필터링이 제대로 적용돼 있지 않을 때 발생하는 취약점 공격. 이를 통해 이 페이지는 DB에 접속하여 사용자 정보가 담긴 테이블을 조회한다고 추측할 수 있다.

CAPTCHA란? 컴퓨터와 사람을 구분 짓기 위한 완전 자동 튜링 테스트 step 1, 2 의 코드를 간단하게 파악해보면 step1 에서 구글Captcha의 key 정보들과 password new , conf의 일치여부를 조사한뒤 step2 로 넘겨주고 step2에서는 다시한번 password new , conf의 일치여부를 조사한뒤 해당 password로 수정하는 기능을 수행한다.

만약에 저 파일이 악성코드나 명령어를 입력할 수 있는 파일이었다면, 저 서버에 굉장히 치명적이었을 것이다.

URL에 비정상적인 파일경로를 삽입함으로써 사용자로써 접근할 수 없는 파일을 노출시키거나, 외부의 파일경로로 접근하도록 유도하는 공격 LFI (Local File Inclusion) : 로컬환경에서의 공격, 비정상적인 파일 경로를 삽입하여 서버 내부의 파일을 노출시키는 공격 RFI (Remote File Inclusion) : 자신이 공격에 이용할 파일의 경로를 삽입하여 공격파일에 대한 접근 사용자 입력값은 'page 파라미터' 변수에 담겨있고 페이지는 'page 파라미터' 변수에 담겨있는 파일을 열어서 보여준다.