Be fully awake if you want to dream

1. 원격 코드 실행(Remote Code Execution)
2. 크로스 사이트 스크립팅(XSS, Cross Site Scripting)
3. SQL 인젝션(SQL Injection)
4. 안전하지 않은 PHP 설정
5. 파일 시스템 공격(File System Attacks)

XSS (Cross Site Scripting)

크로스 사이트 스크립팅은 웹 해킹의 가장 대표적인 공격 방법으로 줄여서 XSS라고 말한다. XSS는 악의적인 크래커가 클라이언트 측에서 실행되는 스크립트(ex. Javascript, VBScript)를 공격하고자 하는 타겟 사이트에 등록하여 사이트에 접속한 사용자들이 자신도 모르게 스크립트를 실행하게 만드는 방법을 말한다. 그리고 크래커가 등록한 스크립트가 사용자에게 실행될 수 있을 때, XSS 취약점이 있다고 한다.

SQL 인젝션

인젝션(Injection) 취약점이란 사용자가 입력한 값을 통해서 명령어를 만들어 사용하는 경우 이를 이용하여 명령어를 악의적으로 수정하거나 추가하는 방법을 말한다. 대표적인 경우가 SQL 인젝션이다. 일반적으로 사용자 인증을 위해서 사용자가 입력한 아이디와 비밀번호를 가지고 SQL 쿼리를 만들어 사용한다. 이 쿼리는 데이터베이스로 전송되고 실행되기 때문에 만약 SQL 쿼리를 수정할 수 있다면 데이터베이스의 데이터를 검색하거나 수정, 삭제하는 것도 가능하다. 또한 사용자 인증을 무효화시켜서 관리자로 로그인할 수도 있다.