공대생 키우는 보더콜리

웹 보안 2일차 ● 웹 보안의 이슈 - 사진, 텍스트, 링크 - 회원가입, 장바구니, 게시판 글쓰기, 파일 업로드, 동영상 업로드, 실시간 채팅, 화상회의 등등 수 많은 기능을 www환경에서 실행 - 다양한 부분에서 취약점 등이 발생하는 문제 ● SQL인젝선 - SQL문의 조건절을 참이 되도록 만들어서 공격자가 의도하는 결과를 만들어내는 공격 - ex) 공격 종류: login bypass(로그인 우회), DB에 있는 정보를 획득/ 조작 등등 ● XSS(cross site scripting) - 스크립트를 활용한 공격 - 스크립트는 공격자가 작성하기 나름이기 때문에 다양한 공격이 가능하다. - 최근에 가장 많은 공격이 발생하는 것은 악성코드를 자연스럽게 다운로드 하도록 유도(Drive by Download..

9월 14일 웹 해킹보안 7일차 dvwa실습 마무리 웹 방화벽 설치 Beebox실습(남은 문제) blindSQL 인젝션 db에 대한 정보가 없는 상태에서 SQL문을 조작해서 DB명, 테이블명, 컬럼명 이러한 것들을 알아내는 공격 주로 에러가 힌트가 되기 때문에 오류를 일으키거나, 한 글자씩 TRUE/ FALSE를 확인하는 방식을 사용했다. 그러다보니 너무 많아서 번거로움을 해소하기 위해서 자동화된 도구를 사용했다. (SQLmap이라는 도구를 사용) command Execution 검색창에 공격자는 공격을 하지 않는다. 검색창을 만들어 놓으면 검색만하겠지라고 생각하는데, 해커들은 검색을 하지 않고, 리눅스 명령어를 실행시키려고 한다. (백도어/ 트로이안 방식) 그래서 이러한 것들을 Beebox에서 PHP코..

#OWASP top10 오전 중 마무리 #DVWA실습 7번쨰 오류: 식별 및 인증 오류(원인) Credential stuffing 1. 여러군데 회원가입을 하다보니 id/pw가 동일하다. 2. 약한 사이트를 해킹(webshell, rat업로드, webdav업로드, sql인젝션 등등)해서 고객db를확보 → id/ pw가 나온다. → 이를 가지고 다른 사이트에 넣어본다. 3. 다른 사이트에 넣어본 결과 (홈플러스 포인트를 마구 쓴다든지, 합친다든지 가능하다. 항공마일리지도 털어서 내부관계자에게 보낼 수 있다. 금융권, 포털, sns 등) 4. 2021년 통계에 의하면 가장 심각한 해킹 유형 대응방법 사이트마다 password를 조금씩 다르게 지정해야 한다. ex) 카톡이 털리면 지인들에게 돈빌려달라는 메시지..

#DB 펫샵이라는 데이터 베이스를 만들 수 있는데, 그 안에다가 테이블을 만들 수 있다. 그러면 테이블에는 고객 테이블이 있을 수 있고, 동물 테이블이 있을 수 있다. 이 동물이 어느 고객에게 입양이 됐다 이게 매치가 되고, 이 동물도 언제 우리 가게에 들어왔고, 언제 입양되고 이러한 정보들이 있을 것이다. db가 있고, 컬럼/행이 있고, 거기에 테이블이 있다. 가로줄을 레코드/ row/튜플라고 하고, 세로줄은 컬럼 메타 데이터 베이스가 있을 수 있는데, 이 DB는 information_schma라는 것이 있다. 이러한 DB안에 다른 데이터 베이스에 대한 정보가 들어있다. 이 안에 고객 테이블, 동물 테이블 같은 정보들이 들어있다. (테이블에 대한 정보, DB에 대한 정보, 컬럼의 정보) 이런 식으로 정..

웹 해킹 4일차 공격자가 공격대상과 연결하는 방법 backdoor 공격자가 공격대상에 접근하는 방식 미리 공격대상(피해자)에 백도어를 설치하거나 취약한 어플리케이션을 사용하는 경우 방화벽에 의해서 대부분 차단됨. → 이 방법은 2%만 사용된다. 2010년대 초반ᄁᆞ지나 쓰인 방법 2. reverse connection(trojan horse) 공격대상이 공격자쪽으로 접근하는 방식 공격대상에 RAT(Remote access trojan)을 미리 침투시켜서 실행될 경우, 공격자쪽으로 미리 준비한 컴퓨터로 연결 시도 (트로이 목마 방식) 방화벽을 우회할 수 있음. 이 방법이 가장 많이 사용된다. 주로 할 수 있는 방법: 이메일을 보내는 방법(고객님 이번에 할인쿠폰 드려요(첨부파일 형식)), 초대장, 항공권, ..

웹 해킹 보안 3일차 복습 XSS(cross site scripting) 스크립트를 웹 사이트에 업로드하고, 방문한 웹 브라우저에서 스크립트를 실행하게 되면, 공격자가 원하는 행위가 발생한다. 그래서 웹 브라우저에서 실행한다는 얘기는 웹 브라우저에서 공격한다, 타겟은 웹 브라우저 웹 브라우저가 타겟인데 웹 브라우저를 웹 서버에 올려놓기 때문에 즉, 타겟이 웹 브라우저이지만 직접 공격하는 것이 아니고 웹 서버를 경유해서 공격하는 기법 스크립트를 평문으로 작성하면 악성코드를 유포하는 URL, 악성코드 이름 등이 노출됨. 그래서 공격자들은 스크립트를 난독화를 한다. 그래서 거의 난독화하는 비율이 90%가 넘는다. 난독화 스크립트의 내용을 숨기기 위해서 난독화를 한다. 난독화를 하려면 복잡한 함수와 생소한 인코..

웹 기본과 실습 환경 웹 해킹 연습 OWASP TOP 10 2021 모의 웹해킹 실습 HTTP프로토콜과 HTML의 특징 HTTP20과 TLS13 실습환경 구축 웹의 아버지 ‘팀 버너스리’ ● 인터넷: 1974년 시작(로버트 칸, 빈트 서프) → CLI Gopher, Archie, Telnet 등등, 이 당시는 사진 문서는 넣을 수 있었다만 링크는 넣지 못함 WWW: 1988년에 팀 버너스리가 처음 개발 팀버너스리는 물리학자인데, CERN(유럽 물리입자 연구소)에서 일했음 문서, 사진, 링크를 넣을 수 있었다. 웹 해킹이 시작된 원인은 기업들이 회사소개, 상품 소개에 사진, 설명, 링크를 넣음으로써 많은 사람들이 사용하기 시작하였고, 이를 사용하기 위해 사람들은 회원가입을 하고 사람들이 많아짐으로써 데이터..