WEBHACKING/Beebox

    Part 4. 취약한 직접 객체 참조

    #15. 취약한 직접 객체 참조 Task to do: 어떤 객체를 참조하기 위해서 몇 개의 인증 절차가 필요한데(비밀번호 설정, 가격 리셋..), 클라이언트가 보내는 정보를 모두 믿고 실행하면 문제가 발생할 수 있다는 것이다. -> 올바른 인증 절차를 거치는 과정이 필요하다.( 특히 클라이언트에서 보내는 정보) 1. Insecure Dor-> 비밀번호를 바꾸는 과정: sql injection login form 에서확인 가능하다. 실제 사례: 고유 숫자 9개를 무작위로 자동 입력 시켜서 가입고객의 고유번호를 맞춘다. 2. Insecure Dor(Reset secrets): session이라는 특별한 변수를 통해 접근을 처리 할 수 있다. 3. Insecure Dor(order tickets): 상품 가격..

    injection 정리-1

    +) 그냥 듣고 전부 메모한 수준이라 상당히 조잡하다. 시간 나면 정리 요망. video-1. 왜 비박스인가? beebox를 활용한 웹 애플리케이션 취약점 진단 ->웹을 진단하는 사례들이 굉장히 많다. -웹이 발전되면서 많은 기능들이 추가가 되었고, 이러한 기능에서 많은 취약점들이 발생하고 있다. : 공격하는 사례들이 많이 늘어나고 있다. 정보보안의 기초: 웹을 먼저 공부-> 웹이 접근이 상대적으로 용이하고, 소스가 보여서 무슨 문제가 발생하고, 취약점을 어떻게 보는지 확인이 가능하다. beebox: 일종의 웹 서버, 공격자의 입장이 되어서 웹 서버를 공략하는 과정이다. 비박스, 웹해킹.kr등등 웹 취약점 진단을 위한 환경들이 많이 있다. beebox를 사용하는 이유-> 오픈소스. 설치가 쉬움, 간단하게..