Hacking
- 기술적 해킹
타겟 시스템과 기술에 대해 깊게 이해
높은 비용이 들지만, 은밀하게 공격을 수행할 수 있음
- 사회 공학적 해킹
사람의 취약점을 공격하여 원하는 정보를 얻는 공격
쉽게 가능하면서 사람들이 많이 당함. 하지만 눈에 잘 띄는 공격
범주
국가 간의 전쟁, 버그 바운티, CTF, 취약점 거래, 모의해킹, 보안 컨설팅, 연구 개발, 프로그램 분석
Vulnerability
설계상 결함을 이용해 본래 설계한 의도와는 다르게 공격자의 의도된 동작을 수행
하드워어, 소프트웨어, 환경 및 시설 등에 다양한 취약점 존재.
다양한 프로그래밍 언어, 프레임워크, 오픈 소스, 설계 상의 허점이 존재
▶소프트웨어의 취약점이 존재할 수 밖에 없음
| 단순 버그 |
| 공격 가능성이 있는 취약점 |
| 공격 가능한 취약점 |
| 어디에서나 Reliable한 취약점 |
0-day 취약점
최신 취약점이 발견됐지만 아직까지 이에 대한 패치가 발표되지 않은 상태
1-day 취약점
최신 취약점이 발견되고 이에 대한 패치가 발표됐지만, 아직 적용되지 않은 상태
CVE(Common Vulnerabilities Exposure)
공개적으로 알려진 소프트웨어의 보안 취약점을 가리키는 고유 표기
CVE - 2017 - 5754
(접두사 - 해당년도 - 취약점 번호)
1. 타겟 선정취약점 분석
2. 소스 코드나 역공학을 통한 분석(Whitebox testing), Blackbox testing
3. 취약점 점검
4. 개념 증명(Proof-of-Concept)
5. Exploit 제작
웹 취약점
Client-side attacks
◦ XSS
◦ CSRF
◦ CORS misconfigure
◦ DNS rebinding attack
Server-side attacks
◦ File inclusion
◦ SQL injection
◦ Command Injection
◦ Server Side Template Injection …
'Security > Web Hacking' 카테고리의 다른 글
| SSF : 데이터 베이스, MySQL, PHP (1) | 2021.08.27 |
|---|---|
| XSS-GAME Write up [Level 1 ~ Level 5] (0) | 2021.07.15 |
| Username enumeration via different responses 문제 풀이 (0) | 2021.07.11 |
