본문 바로가기

Security/Web Hacking

 (4)
SSF : 데이터 베이스, MySQL, PHP DataBase : 여러 사람이 공유하여 사용할 목적으로 체계화하여 통합, 관리하는 데이터의 집합 중복된 데이터 제거, 자료 구조화 → 효율적으로 처리할 수 있도록 관리 DBMS : Database Management System 사용자의 요구에 따라 정보를 생성해 주고 데이터 베이스를 관리할 수 있게 해주는 소프트웨어. 데이터의 종속성, 중복성의 문제를 해결하기 위한 시스템으로 모든 응용 프로그램이 공용할 수 있도록 함 데이터베이스의 구성, 접근 방법, 유지관리에 대한 모든 책임을 짐 DB 특징 실시간 접근 : 사용자 데이터 요구의 즉시 응답 가능 계속적 변화 : 데이터의 삽입, 삭제, 수정을 통해 최신 데이터를 동적으로 유지 내용 기반 참조 : 데이터를 참조할 때 데이터가 주소나 위치가 아닌 내용으로..
XSS-GAME Write up [Level 1 ~ Level 5] Level 1 파라미터를 통해 값을 전송. 입력 창에 입력한 값이 GET 방식을 통해서 전달 됨. alert창을 띄우기 위해서 가장 기본적인 Level 2 게시판에 xss 공격을 해야 한다. 문제를 살펴보자. 가장 기본적인 구문을 이용해 injection을 해보자. 구문을 이용해 injection을 시도 했지만 구문이 필터링 되고 있어 xss 공격이 실행 되지 않았다. 힌트를 보면 onerror를 이용하라고 나와 있어 onerror에 대해 찾아 보았더니 img 태그에 사용한 이미지의 링크가 존재하지 않는 경우 onerror 이벤트를 이용한 처리를 할 수 있다고 한다. ▶ 다음과 같은 형식으로 payload를 작성하면 된다. Level 3 마찬가지로 xss 공격을 해야 하지만, payload를 입력할 수 ..
Username enumeration via different responses 문제 풀이 Brute-force 공격을 통해 100개의 Username 그리고 Password 중에 맞는 Username과 Password를 찾아내면 된다. 100개의 Username과 Password를 직접 입력할 수는 없으니 Brute-force 공격을 해야 한다. Brute-force 공격을 하기 위한 코드를 작성해 보자. import requests N="""root admin test guest ad adam adkit admin administracion administrador administrator administrators admins ag apollo app app01 app1 apple application applications apps appserver aq ar archie arcsigh..
7월 8일 > Hacking and Vulnerability Hacking - 기술적 해킹 타겟 시스템과 기술에 대해 깊게 이해 높은 비용이 들지만, 은밀하게 공격을 수행할 수 있음 - 사회 공학적 해킹 사람의 취약점을 공격하여 원하는 정보를 얻는 공격 쉽게 가능하면서 사람들이 많이 당함. 하지만 눈에 잘 띄는 공격 범주 국가 간의 전쟁, 버그 바운티, CTF, 취약점 거래, 모의해킹, 보안 컨설팅, 연구 개발, 프로그램 분석 Vulnerability 설계상 결함을 이용해 본래 설계한 의도와는 다르게 공격자의 의도된 동작을 수행 하드워어, 소프트웨어, 환경 및 시설 등에 다양한 취약점 존재. 다양한 프로그래밍 언어, 프레임워크, 오픈 소스, 설계 상의 허점이 존재 ▶소프트웨어의 취약점이 존재할 수 밖에 없음 단순 버그 공격 가능성이 있는 취약점 공격 가능한 취약점..

티스토리툴바