| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- File Upload-ZIP
- bash shell bug
- code injection
- JSP 우회
- openvas
- 필터링 우회
- Canary
- ctf
- aslr
- shellshock
- msfconsole
- SQL Injection
- MBSA
- Lampiao
- GHDB
- 취약점
- 파일 업로드
- root-me
- assert()
- Nexpose
- WHISTL
- exploit-db
- SecureCheq
- MySQL 원격 로그인.
- 배시쉘 버그
- file upload
- 메모리 보호
- metasploit
- DNS 정보수집
- ASCII-Aromor
- Today
- Total
나만의 연습장
!!!경고!!!본 게시물에는 해킹 기법에 관련한 정보가 포함되어 있습니다.이를 사용하여 악용할 시에는 법적 문제가 발생할 수 있으며공격으로 인한 사고에 대해서 작성자는 절대 책임지지 않습니다. 이 페이지를 열함하였다는 것은 이에 동의한 것으로 간주합니다. XSS 공격의 피해 이 스크립트는 쿠키 값을 출력하는 악성 스크립트이지만, 이 스크립트 대신 다양한 공격용 코드로 대체하면 쿠키정보 및 세션 정보획득, 클라이언트 프로그램 해킹 등 다양한 방법으로 클라이언트 시스템을 공격할 수 있다. 1) 쿠키 정보/세션ID획득쿠키란 웹 서버가 HTTP 헤더 중 Set-Cookie 필드로 브라우저에게 보내는 4KB 이하의 작은 텍스트 파일이며, 사용자가 웹 사이트를 이용하는 동안 사용자 브라우저에 저장된다. 사용자가 웹..
XSS 공격
!!!경고!!!본 게시물에는 해킹 기법에 관련한 정보가 포함되어 있습니다.이를 사용하여 악용할 시에는 법적 문제가 발생할 수 있으며공격으로 인한 사고에 대해서 작성자는 절대 책임지지 않습니다. 이 페이지를 열함하였다는 것은 이에 동의한 것으로 간주합니다. XSS (Cross Site Scripting)크로스 사이트 스크립팅은 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하지 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생한다.즉, 공격자가 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또는 이것을 출력 시 위험한 문자를 중성화 시키지 않고 처리하는 애플리케이션의 개발 과정에서 발생한다. XSS 공격 종류 1) Stored XSS 공격 ..
OWASP(The Open Web Application Security Project) 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표 했다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년, 2013년, 2017년을 기준으로 발표되었다. OWASP TOP 10 - 2013 → OWASP TOP 10 - 2017 A1 - 인젝션 → A1:2017 - 인젝션 A2 - 취약한 인증과 세션 관리 → A2:2017 - 취약한 인증 A3 - 크로스 ..
쿠키와 세션이 필요한 이유 사전 지식: HTTP 프로토콜에 대한 이해 HTTP 프로토콜은 Connectionless 하고 Stateless 한 프로토콜이다. - Connectionless : 클라이언트가 서버에 요청을 하고 서버가 클라이언트에게 응답을 보내면 접속을 끊는다.- Stateless : 통신이 끝나면 상태 정보를 유지하지 않는다. Connectionless 하고 Stateless 한 HTTP 프로토콜을 사용하면서 Server가 Client를 식별할 수 있는 방법이 필요했고 쿠키와 세션을 사용하게 되었다. HTTP는 Stateless하기 때문에 로그인 상태 정보를 유지하지 않아서 쿠키와 세션을 사용하지 않으면 게시판이나 메일을 확인할 때 페이지를 이동할 때 마다 로그인을 해야한다. 쿠키 (Coo..
스크립트 언어 스크립트 언어 (Script Language)란 응용 소프트웨어를 제어하는 컴퓨터 프로그래밍 언어를 가리킨다. 스크립트 프로그래밍 언어라고도 한다. 스크립트 언어는 응용 프로그램과 독립하여 사용되고 일반적으로 응용 프로그램의 언어와 다른 언어로 사용되어 최종사용자가 응용 프로그램의 동작을 요구에 맞게 수행할 수 있도록 해준다. 특징일반적으로 스크립트 언어는 매우 빠르게 배우고 작성하기 위해 고안 되었으며, 짧은 소스 코드 파일이나 REPL (Read-eval-pring-loop)로 상호작용하는데 적합하다. 일반적으로 상대적으로 단순한 구문과 의미를 내포한다. 즉, 보통 "스크립트"는 시작에서 끝날 때까지 실행되며, 명확한 엔트리 포인트가 없다. * RELP대화 형 최상위 또는 언어 셸로 도..
SQL Injection (2)
!!!경고!!!본 게시물에는 해킹 기법에 관련한 정보가 포함되어 있습니다.이를 사용하여 악용할 시에는 법적 문제가 발생할 수 있으며공격으로 인한 사고에 대해서 작성자는 절대 책임지지 않습니다. 이 페이지를 열함하였다는 것은 이에 동의한 것으로 간주합니다. 1. 인증 우회 (Auth Bypass) 보통은 아이디와 패스워드를 입력하는 로그인 페이지를 타겟으로 행해지는 공격이며, SQL 쿼리문의 TRUE/FALSE의 논리적 연산 오류를 이용하여 로그인 인증 쿼리문이 무조건 TRUE 결과값이 나오게 하여 인증을 무력화하는 기법이다. 인증우회를 위한 공격 쿼리 패턴으로는 아래와 같은 것들이 있으며, 쿼리의 결과를 무조건 참(TRUE)로 만들 수 있으며쿼리라면 무엇이든 그 패턴이 될 수 있다.' or 1=1--' ..
SQL Injection
!!!경고!!!본 게시물에는 해킹 기법에 관련한 정보가 포함되어 있습니다.이를 사용하여 악용할 시에는 법적 문제가 발생할 수 있으며공격으로 인한 사고에 대해서 작성자는 절대 책임지지 않습니다. 이 페이지를 열함하였다는 것은 이에 동의한 것으로 간주합니다. 1. SQL Injection 이란? 1) - 코드 인젝션의 한 기법으로 클라이언트의 입력값을 조작하여 서버의 데이터베이스를 공격할 수 있는 공격 방식- SQL 구문을 임의로 삽이하여 기존 쿼리문을 변조, 인가되지 ㅇ낳은 데이터 열람 등을 수행할 수 있는 취약점- SQL 삽입, SQL 주입으로도 불린다. 2) SQL Injection에 주로 사용되는 문자열 문자열 설명 ' 문자 데이터 구분 기호 --, # 해당 라인 주속 구분 기호 --Oracle, M..
!!!경고!!!본 게시물에는 해킹 기법에 관련한 정보가 포함되어 있습니다.이를 사용하여 악용할 시에는 법적 문제가 발생할 수 있으며공격으로 인한 사고에 대해서 작성자는 절대 책임지지 않습니다. 이 페이지를 열함하였다는 것은 이에 동의한 것으로 간주합니다. ■ 실습 개요metasploit을 사용하여 취약점을 스캔 해 보자사전 파일을 이용하여 MySQL 원격 로그인 시도한다.■ 사용 시스템KaliLinuxMetasploittableV2 Linux■ MSF을 사용하여 서비스 취약점 점검 - 사전파일을 이용한 MySQL 원격 로그인 시도(Kali) 1. 공격 대상 서버 (EX: 192.168.10.134)의 서비스 목록 확인 # nmap -sV 192.168.10.134 /* Metasploitable V2 S..