WEBHACKING
1. XSS 공격 기법 : Cross-site Scripting
#XSS란 무엇인가?*워게임 사이트나 가상환경에서 실행해보기 바람..클라이언트에 대한 취약점을 이용해서 javascript, html 언어 등을 이용하고 있는 불특정 다수를 공격할 수 있다.공격자가 악의적인 스크립트를 사용자의 웹 브라우저에 숨겨놓게 되면, 해당 사용자가 접속할 때악성 코드가 실행된다. 사용자의 쿠키 및 기타 개인정보가 해커에게 전송될 수 있다.: 주로 보안에 대한 지식이 없는 웹프로그래머에 의해 개발된 web어플리케이션에서 발견되는 HTTP관련 취약점이라고한다. 따라서 방화벽, 바이러스 백신과 같은 기존의 보안대책들이 XSS 취약점을 감지하지 못할 가능성이 있다. => 교차해서 스크립트를 실행한다. => 공격이 단순하면서도 강력하다 => JAVASCRIPT 공격 중 하나이다. 1) St..
그누보드5.4.1.3 환경 구축
1. Ubuntu 64-bit를 실행시켜준다. (VMware workstation에 설치되어있는 것을 전제로 한다.) 2. 터미널을 켜고 아래의 명령을 실행시켜준다. Linux환경에서의 apache, mysql, phpmyadmin을 모두 한번에 설치해줄수 있는 lamp 스택을 설치해보도록 하자. https://bitnami.com/stack/lamp LAMP Bitnami LAMP Stack provides a complete, fully-integrated and ready to run LAMP development environment. In addition to PHP, MySQL and Apache, it includes FastCGI, OpenSSL, phpMyAdmin, ModSecurity..
Part 10. 검증되지 않은 리다이렉트와 포워드
#26. 검증되지 않은 리다이렉트와 포워드 -리다이렉션 시 목적지에 대한 검증이 이루어지지 않을 때 공격에 사용 가능하다. -악성 사이트나 피싱 등의 공격으로 사용자에게 피해가 발생한다. - 관리자 단말 pc에 악성코드가 감염되면 순식간에 내부 시스템에 침투할 수가 있다. => 해킹 방법: 공격자가 악의적인 사이트를 삽입하여 정상적인 리다이렉션 요청을 조작한다. 그리고, 유저는 공격자가 조작한 사이트로 리다이렉션이 된다. * 실습: unvalidated redirects & forwards => 사이트를 선택하면 해당 링크로 리다이렉션 하게 되는데, 이걸 조작해서 다른 사이트로 보낼수가 있다. (location을 통해 리다이렉트한다) 방어 방법: 쿠키를 잘 제거시킨 다음에 case 별로 특정하게 url을..