웹해킹
그누보드 취약점 분석 (KVE-2019-1235,1236,1238)
# 이 포스트는 이미 제보된 취약점을 분석한 것임을 알려드립니다. # 실습 환경은 그누보드 5.3.2.0 입니다. https://github.com/gnuboard/gnuboard5/commit/c2922aaa13fe5d9ffabd5370d67125209d5bb5a8
WEB-SERVER) 10점 문제
1.HTTP- OPEN REDIRECT : Find a way to make a redirection to a domain other than those showed on the web page. -> 웹페이지에서 보여지고 있는 도메인이 아닌 다른 도메인으로 리다이렉션 할 수 있는 방법을 찾아라. : 초기 화면을 확인할 수 있다. 우선 소스 코드를 살펴보자. : 각각 링크가 걸려져 있는 버튼이 생성되어 있는 것을 확인해 줄수 있다. =>URL과 MD5로 인코딩 된 해쉬로 href 링크가 생성되어 있으므로, 여기에 네이버로 리다이렉션 해주는 새로운 버튼을 생성해주기로 했다. => naver로 생성된 버튼을 누르면 flag페이지가 순식간에 넘어가고 네이버로 리다이렉션 된다. 따라서 flag 페이지 내용 도 ..
1. XSS 공격 기법 : Cross-site Scripting
#XSS란 무엇인가?*워게임 사이트나 가상환경에서 실행해보기 바람..클라이언트에 대한 취약점을 이용해서 javascript, html 언어 등을 이용하고 있는 불특정 다수를 공격할 수 있다.공격자가 악의적인 스크립트를 사용자의 웹 브라우저에 숨겨놓게 되면, 해당 사용자가 접속할 때악성 코드가 실행된다. 사용자의 쿠키 및 기타 개인정보가 해커에게 전송될 수 있다.: 주로 보안에 대한 지식이 없는 웹프로그래머에 의해 개발된 web어플리케이션에서 발견되는 HTTP관련 취약점이라고한다. 따라서 방화벽, 바이러스 백신과 같은 기존의 보안대책들이 XSS 취약점을 감지하지 못할 가능성이 있다. => 교차해서 스크립트를 실행한다. => 공격이 단순하면서도 강력하다 => JAVASCRIPT 공격 중 하나이다. 1) St..