1. Web hacking (웹 해킹)/2) 개념 정리 (39) 썸네일형 리스트형 [2021.11.06] 파일 다운로드 취약점이란? 보호되어 있는 글입니다. [2021.10.09]CSRF이란? 보호되어 있는 글입니다. [2021.09.25] XSS이란? 보호되어 있는 글입니다. [2021.09.11] SQL Injection이란?(2) 보호되어 있는 글입니다. [2021.09.04] SQL Injection이란?(1) 보호되어 있는 글입니다. [2021.05.22] bypass front and restriction 💻bypass front end restriction 개념 user은 front end를 제어하기 쉽다. 자바스크립트, HTML 같은 것들을 변경할 수있기 때문에 user로 부터 입력값을 받는 application은 server에서 이 입력값을 검증해야한다. 목표 HTML에 대한 기본 지식 습득 (프록시 등의 툴을 활용한) 요청 메시지 변조 특정 필드의 제한사항 조작 및 클라이언트 측의 검증 우회 challenge1 이렇게 사용자에게 값을 입력받는 것이 있다. 설명을 보아서 webpage의 html의 값을 제어하라고 써있다. 우클릭하여 html 편집을 진행한다. 수정 나머지도 모두 바꾸고 submit 해준다 성공 매커니즘을 우회하여 전송하라는 내용이다. 각 필드마다 제한사항 메커니즘이 만들어져있는데 fi.. [2021-05-15] webgoat 직렬화, OSS Insecure login 3계층의 data를 패킷이라고 하지만, 넓은 의미에서 트래픽을 패킷이라고도 부르는데, 이 트래픽을 수집하는 프로그램이 패킷 스니퍼이다. F12에 http history와 비슷한 network 기능을 사용한다 실습 직렬화한 객체를 token에 넣고 submit하면 역직렬화한다. 이렇게 트래픽 상에서 password와 id를 캡쳐할 수 있으니 암호화의 중요성을 알 수 있다. Insecure Deserialization(역직렬화) 직렬화는 객체를 형식에 맞춰 데이터로 전송하기 쉬운 형태로 만드는 것이다. 역직렬화는 데이터를 객체로 만드는 것이다. XML,JSON 등이 있다. 직렬화: 객체를 나중에 복원할 수 있도록 데이터 형식으로 변환시키는 과정 객체를 저장하거나 전송하기 위해 직렬.. [20.05.08]WebGoat CSRF CSRF(XSS와 비슷한 개념, 차이점은 XSS는 client 공격, CSRF는 server 공격) 원클릭 공격, 세션 라이딩, XSRF 등으로 호칭되는 CSRF는 웹사이트를 대상으로 하는 악성 공격이다. 웹사이트가 신뢰하는 사용자를 통해 인가되지 않은 명령이 전송되는 방식 웹사이트가 특정 사용자를 신뢰한다는 점을 이용 1️⃣사용자의 신원에 의존하는 웹사이트를 공격 대상으로 삼는다 2️⃣희생자의 신원을 이용하여 공격 3️⃣희생자가 해당 웹사이트에 (공격자 대신)HTTP 요청을 전송하게 만듦 4️⃣이 GTTP 요청 메시지에는 악성코드가 담겨있다. 사용자의 신원에 의존하는 웹사이트를 공격 대상으로 삼는다 특정 사용자를 신뢰하는 사이트를 타겟으로 삼는다 웹 기능을 표적으로 삼는다. 희생자의 신원을 사용하여 데.. 이전 1 2 3 4 5 다음
