반응형
학부공부/인터넷보안과응용2018. 12. 8. 17:06웹해킹의 이해

인터넷 웹 브라우저에 사용되는 언어 1. HTML 2. SSS ( Server Side Script ) 3. CSS ( Client Side Script ) HTML ( HyperText Markup Language ) 1. 정적인 ( Static ) 웹 페이지 전송 2. 클라이언트의 웹 브라우저를 통해 웹 서버의 무엇인가를 바꿀 수 있는 가능성이 매우 낮기 때문에 웹을 이용한 공격이 매우 어렵다 . 서버와 클라이언트의 관계를 보면 다음과 같다. 1. HTML 작성 2. 클라이언트가 웹 페이지 요청한다 3. 웹 서버가 .html 파일 검색한다 4. HTML 스트림이 브라우저에 반환한다 5. 브라우저가 HTML을 처리한다 SSS ( Server Side Script ) 1. 동적인 페이지를 제공하는 스크립..

학부공부/인터넷보안과응용2018. 12. 8. 17:03XSS 란 무엇인가

XSS 취약점이란?? 1. SQL injection 과 함께 웹 상에서 가장 기초적인 취약점 공격 방법의 일종으로 , 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 공격에 성공하면 , 사이트에 접속한 사용자는 삽입된 코드를 실행 하게 되며 , 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등 의 민감한 정보를 탈취한다. 2. 기본적인 수준에서 XSS 공격은 공격자가 웹 양식 or 웹 앱 URL에 악성코드를 주입해 애플리케이션이 본래 애플리케이션의 의도와 다른 특정 작업을 실행하도록 유도하는 것이다. 3. 크로스 사이트 스크립팅이란 자바스크립트를 사용하여 공격하는 경우가 많다. 4. 공격 방법이 단순하고 가장 기초적이지만 , 많은 웹사이트들이 XSS에 대한 방어 조치를 해두..

학부공부/인터넷보안과응용2018. 12. 8. 16:57SQL 인젝션이란 무엇인가.

SQL 인젝션 공격의 원리 1. SQL 인젝션 공격에 취약점이 발생하는 곳은 웹 애플리케이션과 데이터베이스가 연동되는 부분에 공격자가 임의의 SQL 명령어를 삽입하여 공격 2. 보통 사용자 로그인 부분 , 게시물 검색 부분 , 우편번호 검색 부분 , 자료실 등이 대표적 이다 . SQL injection 공격의 정의 1. SQL injection 공격 : “파라미터를 이용한 쿼리의 재구성” è 웹 어플리케이션이 뒷 단에 있는 Database에 질의(쿼리)를 하는 과정 사이에 일반적인 값 외에 악의적인 의도를 갖는 구문을 함께 삽입하여 공격자가 원하는 SQL 쿼리문을 실행하는 대표적인 웹해킹기법 SQL injection 공격 예시 구글에서 inurl:.php?id= 를 검색하게 되면 웹주소에 .php?id=..

웹 해킹 침해사고 및 대응
학부공부/인터넷보안과응용2018. 12. 3. 20:32웹 해킹 침해사고 및 대응

웹 해킹 침해사고 및 대응 홈페이지 변조 è 홈페이지 메인 화면 등을 변조하는 공격으로 디페이스 공격으로도 불린다. è 공격자는 웹서버를 해킹하여 본래의 목적과 관련이 없는 내용으로 웹 콘텐츠를 변조한다 WebDAV 취약점 예방법 1. 불필요한 경우 WebDAV 서비스 중지 2. 운영체제 및 IIS 버전 업그레이드 3. Httpex.dii 파일의 Everyone 권한 삭제 4. 홈 디렉토리 메뉴의 쓰기 권한 삭제 l 파일 업로드 취약점은 홈페이지 게시판에 허용된 파일외 서버 사이드 스크립트 파일 (PHP , JSP, ASP 등)이 업로드가 가능한 경우 공격자는 웹서버에서 스크립트를 실행시켜 임의의 파일을 업로드 하여 웹 콘텐츠를 변조할 수 있다. 파일 업로드 취약점 예방법 è 오픈소스 게시판 보안 è 파..

WebGoat_sql_injection_Solution(advanced + original ) Webgoat_풀이
학부공부/인터넷보안과응용2018. 11. 12. 06:44WebGoat_sql_injection_Solution(advanced + original ) Webgoat_풀이

SQL_injection에 대해서 알아보며 , 이것을 통해 무엇을 할 수 있고 , 어떻게 사용되는지 알아보겠다. Webgoat는 sql_injection 실습환경을 제공해 주고 있으며 , 문제를 제공함으로써 가이드를 제공해 주고 있었다. 실습을 하기 위해 다음화면 처럼 sql_injection 을 클릭해 준다. 구성형태는 보면 , 1~6번까지는 개념을 설명 ( 약간 Document 처럼 ) 해 주고 있다. 원래는 빨간색인데 , 문제를 풀게 되면 초록색 버튼으로 바뀐다. 이건 여담인데 , 문제를 풀지 않아도 , 초록색 버튼으로 바뀌는 버그가 있다고 한다.. 나는 전혀 그렇지 않았다. 위 그림은 첫번째 페이지 , 즉 간단한 개념과 , 목표를 설명해 주고 있다. 간략하게 말해보자면 , 여기에서는 SQL을 구성..

pip_error
학부공부/인터넷보안과응용2018. 11. 12. 05:22pip_error

Webgoat_sql_injection 풀이하던중 python 사용할 일이 생겨서 하다 , pip error 가 발생하여서 올려본다. 우선 오류는 다음처럼 뜬다. pip version을 확인하라고 경고한다. 나는 Pycharm 에디터를 사용했기 때문에 여기서 해보겠다.File --> Setting --> project interpreter --> 여기서 + 버튼을 클릭한다 클릭하면 다음과 같은 화면이 뜨는데 pip 검색해서 install package를 클릭해준다. 실행 후에도 오류가 난다면 , python의 파일 경로를 제대로 설정해 주었는지 확인해 주자 .

반응형
image

티스토리툴바