| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
- overthewire bandit 문제풀이
- bandit level 11 -> level 12 문제풀이
- overthewire bandit 문제
- 공부기록
- Dreamhack
- 함수와 디버깅
- 보안
- bandit 비밀번호
- 티스토리챌린지
- kbdinteractiveauthentication
- 네트워크정리
- bandit level
- 네트워크문제
- AWS
- 오블완
- sk루키즈
- 데이터와 로직
- 객체지향
- 혼자공부하는네트워크
- 네트워크이론정리
- overthewire bandit level 0
- 해킹
- bandit 문제풀이
- 혼공네트
- 정보보안
- sk shieldus rookies 23기
- web hacking
- 포인터와 배열
- 취약점진단
- overthewire 문제
- Today
- Total
목록web hacking (6)
아임노드
Web Hacking > Command Injection, File Vulnerability, SSRF
ServerSide: Command Injection 中 인젝션(Injection) 악의적인 데이터를 프로그램에 입력하여 이를 시스템 명령어, 코드, 데이터베이스 쿼리 등으로 실행되게 하는 기법 이용자의 입력을 시스템 명령어로 실행하게 하는 취약점을 Command Injection이라고 부른다. Command Injection이용자의 입력을 적절한 검사 없이 명령어로 사용할 때 발생하는 취약점 시스템 함수는 셸 프로그램에 명령어를 전달하여 실행하는데, 셸 프로그램은 다양한 메타 문자를 지원((&&, ;, | 등)이러한 메타 문자는 여러 개의 명령어를 연속으로 실행시킬 수 있다. 따라서 공격자는 메타 문자를 통해 임의 명령어를 실행하여 셸을 획득할 수 있다. 이러한 취약점을 막으려면 개발자는 입력 ..
Web Hacking > SQL Injection
SQL Injection 中 DataBase Management System (DBMS) 웹 서비스는 데이터베이스에 정보를 저장하고, 이를 관리하기 위해 DBMS 사용DBMS는 데이터베이스에 새로운 정보를 기록하거나, 기록된 내용을 수정, 삭제하는 역할특징 다수의 사람이 동시에 데이터베이스에 접근 가능 서비스의 검색 기능과 같이 복잡한 요구사항을 만족하는 데이터를 조회 가능관계형(Relational) vs 비관계형(Non-Relational) 관계형은 행과 열의 집합인 테이블 형식으로 데이터를 저장 비관계형은 테이블 형식이 아닌 키-값 (Key-Value) 형태로 값을 저장 SQL InjectionSQLRDBMS의 데이터를 정의하고 질의, 수정 등을 하기 위해 고안된 언어 SQL Injection사..
Web Hacking > Cross Site Request Forgery (CSRF)
ClientSide: CSRF 中 Cross Site Request Forgery (CSRF)사이트 간 요청 위조이용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격 쉽게 말해 '사용자가 모르는 사이에 특정 동작을 실행시키도록 유도하는 방법'XSS와 CSRF의 차이공통점 모두 클라이언트를 대상으로 하는 공격 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도 차이점 XSS는 인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격(공격할 사이트의 오리진에서 스크립트를 실행) CSRF는 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격 ( 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행할 ..
Web Hacking > Cross-Site Scripting (XSS)
ClientSide: XSS 中 Cross Site Scripting (XSS)클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행하는 취약점XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다. 공격자는 자바스크립트를 통해 이용자에게 보여지는 웹 페이지를 조작하거나, 웹 브라우저의 위치를 임의의 주소로 변경할 수 있다. 워게임 xss-1 문제풀이 완료! 문제풀이 순서)1. 문제로 받은 파이썬 파일 실행하기2. 주요 함수 (check_xss(), index(), vuln(), flag(), memo() 확인)3. 생성 서버 훑어보기 4. 각 페이지에 주소 부분 확인하기 (취약점 확인) 5. XSS 공격 스크립트를 flag ..
Web Hacking > Cookie & Session
Background: Cookie & Session 中 클라이언트의 인증 정보를 포함하고 있는 Cookie와 SessionHTTP 프로토콜 특징Connectionless : 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것Stateless : 통신이 끝난 후 상태 정보를 저장하지 않는 것-> 이러한 특성 때문에 HTTP 상태를 유지하기 위한 쿠키(Cookie) 탄생 쿠키는 Key와 Value로 이뤄진 일종의 단위로,서버가 클라이언트에게 쿠키를 발급하면, 클라이언트는 서버에 요청을 보낼 때마다 쿠키를 같이 전송한다.서버는 클라이언트의 요청에 포함된 쿠키를 확인해 클라이언트를 구분할 수 있다. 쿠키는 클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용 쿠키 변조악의적인 클라이언트는 쿠키 ..
Web Hacking > Background - Web
Background: web 中인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스를 웹이라고 한다.여기서 정보를 제공하는 주체를 웹 서버(Web Server), 정보를 받는 이용자를 웹 클라이언트(Web Client)라고 한다. Background: HTTP/HTTPS 中 HTTP(HyperText Transfer Protocol)웹 서버와 클라이언트가 리소스를 교환하기 위해 사용하는 프로토콜클라이언트가 요청하면, 서버가 응답하는 방식HTTP 메시지HTTP 서버와 클라이언트가 교환하는 데이터헤드와 바디로 구성되며, 각 줄은 CRLF로 구분됨HTTP 요청(Request)클라이언트가 -> 서버에게 특정 동작을 요청하는 메시지HTTP 응답(Response)요청을 처리한 결과 및 이..