태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - PHP Code Injection 비박스 취약점 진단항목 A1 - Injection 항목에 해당하는 PHP Code Injection에 대하여 살펴 보도록 하겠습니다. 비박스 로그인을 하신후 PHP Code Injection을 선택해 주신후 [Hack] 버튼을 눌러 줍니다. PHP Code Injection 페이지에 접속하신후 URL을 확인해 보시면 해당페이지는 'phpi.php' 페이지라는 것을 알수 있으며, 'message'라는 굵은 글씨가 보이실겁니다. 여기서 'message'라는 굵은 글씨를 클릭하..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - OS Command Injection OS 커맨드 인젝션은 취약한 변수로 시스템 명령어를 실행하여 서버 운영체제에 접근하는 공격 방식 입니다. OS Command Injection 실습페이지 화면 입니다. 화면을 보시면 [www.nsa.gov]에 대하여 DNS 주소를 출력하는 것을 알수있고, DNS를 조회하기 위하여 시스템 명령어인 nslookup 명령어를 사용합니다. 해당화면은 구글주소를 입력한 후 [Lookup] 버튼을 눌렀을때의 화면입니다. Low 단계에서는 아무런 검증을 거치지 않기 때문에 and,..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Formula Injection 취약점은 CSV 주입 공격이라고도 하며 저장된 데이터를 CSV 파일로 내보낼때 생성 된 CSV 파일안에 명령어를 삽입할수 있는 공격을 말합니다. https://www.owasp.org/index.php/CSV_Injection https://payatu.com/csv-injection-basic-to-exploit/ CVE-2014-3524https://www.openoffice.org/security/cves/CVE-2014-3524.html 사이트를 참고 하시기 바랍니다. For..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. DVWA 취약점 진단 항목중에 하나인 Command Execution에 대해서 알아보도록 하겠습니다. Command Execution은 '원격 명령 실행 취약점'을 말합니다. 이 공격을 사용하면 공격자는 자신이 실행하고자 하는 명령어를 서버에 원격으로 실행하여 악의적인 행위들을 할 수 있습니다. Command Execution 메인 화면 입니다. 웹페이지 접속 방법 및 소스코드 보는 방법은 앞에 포스팅에서 다 설명을 했기 때문에, 앞으로는 건너 뛰도록 하겠습니다. 위에 보이시는 화면은 Command Executio..