분류 전체보기 (550) 썸네일형 리스트형 [1주차]2024.03.14 - 챌린지로 알아보는 디지털 포렌식 해킹 대회 준비 보호되어 있는 글입니다. [1주차] 2024.03.11 - Web War Game Write Up CTF Cite https://play.picoctf.org #관련 개념 정리 1. SQL Injection 1.1 정의 데이터 베이스와 연동된 웹에서 임의의 SQL 문을 주입하여 비정상적인 동작을 하도록 조작해서 정보를 알아내는 공격 기법 1.2 발생 원인 주로 입력한 데이터를 제대로 필터링하지 못했을 때 발생 1.3 관련 프로그램 (DB) MySQL, SQLite 등 1.4 일반적인 구문&구조 * 프로그램별 정보 가져 오는 방법 1.4.1 메타 데이터의 테이블; information_schema 1.4.2 테이블 정보; SELECT table_name FROM information_schema.tables 1.4.3 칼럼 정보; SELECT column_name FROM information_sche.. [악성코드 분석 개요] 분석할 악성코드: 에드웨어, Conti 랜섬웨어, LockBit 악성코드, KPOT 악성코드 각 악성코드에 대한 간단 요약 에드웨어 소프트웨어 자체에 광고를 포함하거나 아니면 같이 묶어서 배포하는 것 프로그래머가 소프트웨어를 개발하면서 개발 비용을 애드웨어를 통해서 충당할 목적으로 주로 사용 어떤 경우는 사용자가 무료 또는 아니면 할인된 가격으로 프로그램을 사용하도록 하는 조건으로 광고를 삽입 광고를 통해 얻은 수입은 프로그래머가 소프트웨어 제품을 작성, 유지 또는 업그레이드를 할 수 있는 동기를 부여 Conti 랜섬웨어 비지니스 환경 대상으로 하는 파일 암호화 랜섬웨어 LockBit 악성코드 2022년에 전 세계에서 가장 많이 배포된 랜섬웨어 변종 금융 서비스, 식품 및 농업을 포함한 다양한 중요 인프.. AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안-1 클라우드 서비스 개념 1. 클라우드 서비스란? SaaS(Software-as-a-Service) SaaS 애플리케이션이 클라우드 서버에 올라온 상태에서 호스팅 서비스 형태로 제공 필요한 애플리케이션이 구축된 상태라 구축된 서비스를 임대한다는 개념 소프트웨어. ex)google apps, dropboxs, salesforce, whatap 웹에 올라와 있는 그대로 쓰는 워드 같은 것들 웹 브라우저를 통해 직접 실행되므로 클라이언트 측에서 다운로드나 설치할 필요가 없다. PaaS(Platform-as-a-Service) 자체 애플리케이션을 구축하는 데 필요한 비용을 지불하는 서비스 형태로 제공 개발 도구, 인프라, 운영 체제를 포함한 애플리케이션 구축에 필요한 모든 것을 인터넷을 통해 제공 ex) googl.. VMware 가상머신 환경 구축 & Ubuntu 리눅스 설치 (2024.03.01. 작성) 이 글은 Windows 운영체제를 기반으로 작성되었습니다. 1. VMware workstation 설치 VMware란? 윈도우 환경에서 가상머신 환경을 구축할 수 있도록 해주는 소프트웨어입니다. 이 소프트웨어를 활용하면 한 대의 컴퓨터로 마치 여러 대의 컴퓨터를 사용하듯 여러 운영체제의 가상환경을 만들 수 있습니다. https://www.vmware.com/kr/products/workstation-player.html 위의 링크를 클릭하고 'DOWNLOAD FOR FREE'를 선택합니다. 'GO TO DOWNLOADS'를 눌러 다운로드 페이지로 이동합니다. 윈도우 환경에 설치할 것이니 'VMware Workstation 17.5.1 Player for Windows 64-bit Operating Sys.. [2023.11.11] 윈도우 가상환경에 DVWA 환경 구축 1. DVWA DVWA: 웹 해킹을 연구할 수 있도록 취약하게 설정되어 있는 오픈 소스 웹 어플리케이션 서비스 환경 초급(low), 중급(medium), 고급(high), Impossible 총 4개의 레벨로 분류되어 있는데, 레벨이 높아질수록 secure 코딩이 강하게 적용되어 있다. 또한 DVWA는 약 60가지 실습을 진행할 수 있다. 웹 해킹: 웹 사이트의 취약점을 공격하는 기술적 위협으로, 웹 페이지를 통하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴와 같은 행위 *타인의 시스템을 대상으로 한 해킹은 불법이므로 반드시 자신이 관리하는 시스템 환경에서 실습을 진행하여야 한다. 2. DVWA 환경 구축하기 1)VirtualBox 설치하기 리눅스 환경에서 실습을 진행하기 위해 가상머신을 설치.. [2023.10.14] 드림핵 웹해킹 서버/클라이언트(스테이지 4개) 2 Business Logic Vulnerability Business logic(비즈니스 로직): 규칙에 따라 데이터를 생성, 표시, 저장, 변경하는 로직, 알고리즘 등을 말한다. Business Logic Vulnerability(비즈니스 로직 취약점): 정상적인 비즈니스 로직을 악용하는 것을 의미한다. 인젝션, 파일 관련 취약점들은 사용자의 악의적인 데이터가 서버의 시스템 상에서 악영향을 미치는 공격을 수행하지만, 비즈니스 로직 취약점은 서비스의 기능에서 적용되어야 할 로직이 없거나 잘못 설계된 경우 발생하게 된다. 예) 후기 작성 시 적립금 지급 이벤트 후기 작성 후 100 포인트를 지급받고, 후기를 삭제한 후 다시 후기를 작성하여 100 포인트를 계속 지급받을 수 있는 취약점 발생 -> 후기 삭제기.. [2023.10.07] 드림핵 웹해킹 서버/클라이언트(스테이지 4개) 1 Sever Side Template Injection (SSTI) 웹 어플리케이션에서 동적인 내용을 HTML 로 출력할 때 미리 정의한 Template 에 동적인 값을 넣어 출력하는 Template Engine 을 사용하기도 한다. 예를 들어 내 정보를 출력해주는 페이지가 있다면 아래 코드처럼 Template 을 만들어 놓고 변수를 넣어 동적으로 HTML 을 만들 수 있다. Language Template Engine Python Jinja2, Mako, Tornad ... PHP Smarty, Twig, .... JavaScript Pug, Marko, EJS ... 사용자의 입력 데이터가 Template 에 직접 사용될 경우 template Emgine 이 해석하여 실행하는 문법을 사용할 수 있다 -.. 이전 1 ··· 15 16 17 18 19 20 21 ··· 69 다음
