태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Formula Injection 취약점은 CSV 주입 공격이라고도 하며 저장된 데이터를 CSV 파일로 내보낼때 생성 된 CSV 파일안에 명령어를 삽입할수 있는 공격을 말합니다. https://www.owasp.org/index.php/CSV_Injection https://payatu.com/csv-injection-basic-to-exploit/ CVE-2014-3524https://www.openoffice.org/security/cves/CVE-2014-3524.html 사이트를 참고 하시기 바랍니다. For..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Command Execution은 '원격 명령 실행 취약점'을 말합니다. 이 공격을 사용하면 공격자는 자신이 실행하고자 하는 명령어를 서버에 원격으로 실행하여 악의적인 행위들을 할 수 있습니다. XVWA 웹 취약점 진단 항목의 하나인 OS Command Injection 화면 입니다. 소스코드를 보시면 해당경로의 home.php 파일을 참조하는걸 알수 있습니다. home.php 파일의 소스코드를 보시면 입력받은 값을 target 변수에 저장하고 shell_exec 함수를 이용하여 명령어를 실행하고 있습니다. 해당 ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Blind SQL Injection은 SQL Injection 과 같이 원하는 데이터를 가져올 쿼리를 삽입하는 공격 방법 입니다. 여기서 SQL Injection 과 다른점은 SQL Injection은 쿼리를 삽입하여 원하는 데이터를 한번에 얻어낼 수 있는 반면에 Blind SQL Injection은 참과 거짓, 쿼리가 참일때와 거짓일 때의 서버의 반응 만으로 데이터를 얻어내는 방식 입니다. XVWA 취약점 진단 페이지의 Blind SQL Injection 화면 입니다. 여기서는 버프스위트와, SQLMAP을 사용하..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. DVWA 취약점 진단 항목중에 하나인 Command Execution에 대해서 알아보도록 하겠습니다. Command Execution은 '원격 명령 실행 취약점'을 말합니다. 이 공격을 사용하면 공격자는 자신이 실행하고자 하는 명령어를 서버에 원격으로 실행하여 악의적인 행위들을 할 수 있습니다. Command Execution 메인 화면 입니다. 웹페이지 접속 방법 및 소스코드 보는 방법은 앞에 포스팅에서 다 설명을 했기 때문에, 앞으로는 건너 뛰도록 하겠습니다. 위에 보이시는 화면은 Command Executio..