태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - SQL Injection - Stored (User-Agent) SQL Injection은 사용자가 입력한 값을 서버에서 검증하지 않고 데이터베이스 쿼리 일부분으로 인식하여 데이터베이스의 정보가 노출되거나 인증이 우회되는 취약점 입니다. SQL Injection은 사용자가 데이터를 입력할 수 있는 곳 어디에서든 발생할 수 있습니다. 1. User-Agent - HTTP 요청시 헤더에 포함되는 클라이언트 정보를 뜻합니다. 비박스 SQL Injection -Stored (User-Agent) 화면입니다. 화면..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - SQL Injection - Stored (Blog) SQL Injection은 사용자가 입력한 값을 서버에서 검증하지 않고 데이터베이스 쿼리 일부분으로 인식하여 데이터베이스의 정보가 노출되거나 인증이 우회되는 취약점 입니다. SQL Injection은 사용자가 데이터를 입력할 수 있는 곳 어디에서든 발생할 수 있습니다. 비박스 SQL Injection -Stored (Blog) 취약점 진단 페이지 화면 입니다. Stored 공격 방식 접속자가 많은 웹 사이트를 대상으로 게시판 및 글을 저장할수 있는 공간..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - SQL Injection (AJAX/JSON/jQuery) AJAX - HTML, 자바스크립트, JSON을 혼합하여 사용하는 기술을 말합니다. JSON - 웹 서버와 데이터를 주고받을 때 데이터를 표현하는 방법을 뜻하며, 자바스크립트 형식으로 객체를 표현 합니다. jQuery - 자바스크립트 라이브러리 중 하나로, 클라이언트에서 스크립트 언어를 사용할 때 사용 합니다. 해당 취약점 점검의 화면 입니다. 값을 입력하고 URL을 확인해 보신 분들은 GET메소드 방식이므로 URL에 변수가 노출되는 것을 확인할수..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - Server-Side Includes (SSI) Injection SSI(Server-Side Includes)는 웹페이지 내에서 주로 방문자 수를 세거나 홈페이지의 로고를 수정하는 간단한 기능을 추가할 때 사용됩니다. 구분 HTML 문서 SSI가 포함된 HTML 문서 파일 구분(확장자) *.html *.shtml Tag (코드실행) Client에서 Tag 번역 Server(웹서버,Apache)에서 SSI코드번역후 Client(웹브라우즈)로 전송 사용가능코드 html표준태그 웹브라우즈로 결과전송 html표..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - PHP Code Injection 비박스 취약점 진단항목 A1 - Injection 항목에 해당하는 PHP Code Injection에 대하여 살펴 보도록 하겠습니다. 비박스 로그인을 하신후 PHP Code Injection을 선택해 주신후 [Hack] 버튼을 눌러 줍니다. PHP Code Injection 페이지에 접속하신후 URL을 확인해 보시면 해당페이지는 'phpi.php' 페이지라는 것을 알수 있으며, 'message'라는 굵은 글씨가 보이실겁니다. 여기서 'message'라는 굵은 글씨를 클릭하..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - OS Command Injection OS 커맨드 인젝션은 취약한 변수로 시스템 명령어를 실행하여 서버 운영체제에 접근하는 공격 방식 입니다. OS Command Injection 실습페이지 화면 입니다. 화면을 보시면 [www.nsa.gov]에 대하여 DNS 주소를 출력하는 것을 알수있고, DNS를 조회하기 위하여 시스템 명령어인 nslookup 명령어를 사용합니다. 해당화면은 구글주소를 입력한 후 [Lookup] 버튼을 눌렀을때의 화면입니다. Low 단계에서는 아무런 검증을 거치지 않기 때문에 and,..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - iFrame Injection iFrame은 HTML 문서 안에서 또 다른 HTML 문서를 출력하는 태그로 사용되며, 어느 위치든 상관없이 인젝션 공격을 할 수 있습니다. iFrame 인젝션은 독립적으로 만들 수 있어 HTML 인젝션 중에서도 공격에 자주 사용되며, 주로 악성 URL을 삽입한 후 사이즈를 0으로 설정하여 숨기는 방법을 사용합니다. iFrame Injection 실습페이지의 화면 입니다. 'iframei.php' 페이지를 보시면 GET 방식으로 데이터를 전송하기 때문에 URL에 변수를 노출합..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - Injection 인젝션은 공격자가 악의적으로 주입한 데이터를 웹 애플리케이션에서 데이터베이스의 정상적인 쿼리 일부로 인식하고 실행할 때에 발생하는 취약점으로, 데이터를 입력받거나 데이터베이스 정보를 요청하는 곳에는 인젝션 공격이 가능합니다. 공격 방법이나 사용 언어에 따라 인젝션의 종류가 달라지는데, 대표적인 유형으로 SQL 인젝션, HTML 인젝션, OS Command 인젝션, LDAP 인젝션 등이 있습니다. 인젝션 공격 중 SQL 인젝션은 데이터베이스 언어인 SQL문을 사용하기 때문에 데이터베이스 내의..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 비박스를 로그인하면 위와 같은 화면이 나옵니다. 이번에는 OWASP 항목 중 하나인 인젝션에 대해서 살펴보도록 하겠습니다. A1 - Injection 인젝션은 공격자가 악의적으로 주입한 데이터를 웹 애플리케이션에서 데이터베이스의 정상적인 쿼리 일부로 인식하고 실행할 때에 발생하는 취약점으로, 데이터를 입력받거나 데이터베이스 정보를 요청하는 곳에는 인젝션 공격이 가능합니다. 공격 방법이나 사용 언어에 따라 인젝션의 종류가 달라지는데, 대표적인 유형으로 SQL 인젝션, HTML 인젝션, OS Command 인젝션, LD..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. XVWA 항목중 하나인 XPATH Injection에 대해서 알아 보도록 하겠습니다. XPATH Injection은 SQL Injection 과 마찬가지로 웹 사이트가 사용자 제공 정보를 사용하여 XML 데이터에 대한 Xpath 쿼리를 구성 할 때 발생 합니다. 의도적으로 조작 된 정보를 웹 사이트에 전송함으로써 공격자는 XML 데이터의 구조를 알 수 있으며 일반적으로 접근할수 없는 데이터에 접근을 할수 있습니다. 자세한 내용은 해당 사이트를 참고 부탁 드립니다. https://www.owasp.org/index...