태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 1. 기본적인 XSS 2. 경로에 javascript: 프로토콜을 삽입한 XSS 3. onerror 이벤트를 이용한 XSS 4. http://www.loaded.com/loaded.gif" width=5000 heigth=5000 onmouseenter="alert('XSS');this.outerHTML='';"> 사용자가 마우스를 대도록 크기를 조정하고 onmouseenter 이벤트를 이용한 XSS 5. 애플릿 경로에 javascript: 프로토콜을 삽입한 XSS 6. 테이블 배경 그림에 javascript: 프..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - Server-Side Includes (SSI) Injection SSI(Server-Side Includes)는 웹페이지 내에서 주로 방문자 수를 세거나 홈페이지의 로고를 수정하는 간단한 기능을 추가할 때 사용됩니다. 구분 HTML 문서 SSI가 포함된 HTML 문서 파일 구분(확장자) *.html *.shtml Tag (코드실행) Client에서 Tag 번역 Server(웹서버,Apache)에서 SSI코드번역후 Client(웹브라우즈)로 전송 사용가능코드 html표준태그 웹브라우즈로 결과전송 html표..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 비박스를 로그인하면 위와 같은 화면이 나옵니다. 이번에는 OWASP 항목 중 하나인 인젝션에 대해서 살펴보도록 하겠습니다. A1 - Injection 인젝션은 공격자가 악의적으로 주입한 데이터를 웹 애플리케이션에서 데이터베이스의 정상적인 쿼리 일부로 인식하고 실행할 때에 발생하는 취약점으로, 데이터를 입력받거나 데이터베이스 정보를 요청하는 곳에는 인젝션 공격이 가능합니다. 공격 방법이나 사용 언어에 따라 인젝션의 종류가 달라지는데, 대표적인 유형으로 SQL 인젝션, HTML 인젝션, OS Command 인젝션, LD..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. XSS(Cross-site Scripting)는 웹 상에서 가장 기초적인 취약점 공격 방법 입니다. 크로스 사이트 스크립팅(XSS)은 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하기 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생하게 됩니다. 공격자는 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또는 출력 될수 있게 공격을 할수 있습니다. XSS 취약점을 이용한 공격 방법은 크게 3가지로 분류됩니다. 1. XSS(Stored) - 저장 XSS..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. XSS(Cross-site Scripting)는 웹 상에서 가장 기초적인 취약점 공격 방법 입니다. 크로스 사이트 스크립팅(XSS)은 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하기 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생하게 됩니다. 공격자는 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또는 출력 될수 있게 공격을 할수 있습니다. XSS 취약점을 이용한 공격 방법은 크게 3가지로 분류됩니다. 1. XSS(Stored) - 저장 XSS..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. XSS(Cross-site Scripting)는 웹 상에서 가장 기초적인 취약점 공격 방법 입니다. 크로스 사이트 스크립팅(XSS)은 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하기 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생하게 됩니다. 공격자는 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또는 출력 될수 있게 공격을 할수 있습니다. XSS 취약점을 이용한 공격 방법은 크게 3가지로 분류됩니다. 1. XSS(Stored) - 저장 XSS..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. DVWA 취약점 진단 항목인 CSRF 공격에 대하여 알아보도록 하겠습니다. CSRF(Cross Site Request Forgery)는 "크로스 사이트 요청 변조 공격"을 말합니다. 이 공격은 공격자가 GET, POST와 같은 HTTP 메소드로 사용자 모르게 공격자의 의도된 행위를 수행하게 하여 피해를 주는 공격 입니다. 게시판이나 공지사항등에 스크립트가 삽입되는 XSS 취약점에 의하여 스크립트 발생과 함께 요청을 하거나 공격자가 올려놓은 악성 링크를 요청할수 있습니다. 해당화면은 CSRF 취약점 진단의 메인화면이..