본문 바로가기

디룡

Popular Posts

Recent Comments

Link

Calendar

Visits

Today

Yesterday

Webhacking/개념

[Web] Dreamhack STAGE 8 https://dreamhack.io/lecture/roadmaps/1 Web Hacking 웹 해킹을 공부하기 위한 로드맵입니다. dreamhack.io [ Web STAGE 8: File Vulnerability ] [ File Upload Vulnerability ] : 공격자의 파일을 웹 서비스의 파일 시스템에 업로드하는 과정에서 발생하는 보안 취약점 : 파일 시스템 상 임의 경로에 원하는 파일을 업로드하거나 악성 확장자를 갖는 파일을 업로드할 수 있을 때 발생 : 원하는 시스템 커맨드를 실행하는 원격 코드 실행 취약점 유발 가능 : 이용자가 업로드될 파일의 이름을 임의로 정할 수 있을 때 발생 : 파일 이름에 이용자가 입력한 문자열을 그대로 사용하거나, 이용자의 이메일, 닉네임 등을 포함시키는 .. Webhacking/개념 2022. 8. 27.

[Web] Dreamhack STAGE 7 https://dreamhack.io/lecture/roadmaps/1 Web Hacking 웹 해킹을 공부하기 위한 로드맵입니다. dreamhack.io [ Web STAGE 7: Command Injection ] * 각 언어별 시스템 함수 - PHP: system - Node JS: child_process - 파이썬: os.system * Command Injection - 이용자의 입력을 시스템 명령어로 실행하게 하는 취약점 - 명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생 - 시스템 함수는 셸 프로그램에 명령어를 전달하여 실행하는데, 셸 프로그램은 다양한 메타 문자를 지원함 - 아래의 메타문자에서 &&, ;, | 등을 사용하면 여러 개의 명령어를 연속으로 실행시킬 수.. Webhacking/개념 2022. 8. 27.

[Web] Dreamhack STAGE 6 https://dreamhack.io/lecture/roadmaps/3 Cryptography 암호학을 공부하기 위한 로드맵입니다. dreamhack.io [ web stage 6: 전자서명 ] * 서론 - 전자 서명(digital signature)은 서명의 특징을 암호학적으로 구현한 것 - 전자서명은 공개키 암호와 함께 만들어짐 - 공개키 알고리즘에서의 개인키로 서명을 생성하고, 공개키로 그 서명에 대한 검증 진행 이때, 서명을 생성하는 개인키는 서명키(signing key) / 검증에 사용되는 공개키는 검증키(verification key) - 주로 메시지의 무결성과 부인 방지를 위해 사용됨 * 기본원리 1. 서명과 검증 - 공개키 암호에서의 공개키, 개인키와 유사하게 전자 서명에서 사용하는 검증키.. Webhacking/개념 2022. 8. 27.

[Web] Dreamhack STAGE 5 https://dreamhack.io/lecture/roadmaps/1 Web Hacking 웹 해킹을 공부하기 위한 로드맵입니다. dreamhack.io [ Web : stage 5 _ Cross-Site-Scripting(CSRF) ] [CSRF] - 임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점 - 공격자는 임의 이용자의 권한으로 서비스 기능을 사용해 이득을 취할 수 있음 [Cross Site Request Forgery 동작] - 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트를 이용자가 실행해야 함 -> 공격자가 이용자에게 메일을 보내거나 게시판에 글을 작성해 이용자가 이를 조회하도록 유도 ( 악성 스크립트 : http 요청을 보내는 코드) - CSRF 공격 스.. Webhacking/개념 2022. 8. 26.

[Web] Dreamhack STAGE 4 https://dreamhack.io/lecture/roadmaps/1 Web Hacking 웹 해킹을 공부하기 위한 로드맵입니다. dreamhack.io [ web: Stage4_Cross-Site-Scripting(XSS) ] [XSS] : 클라이언트 사이드 취약점 중 하나, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있음 : 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있음 [Stored XSS] : 서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS : 대표적으로 게시물과 댓글에 악성스크립트를 포함해 업로드하는 방식이 있음 [Reflected XS.. Webhacking/개념 2022. 8. 25.

이전 1 2 다음

티스토리툴바