본문 바로가기

해킹&보안

웹 해킹 실습
해킹&보안/웹 & 앱 2025. 1. 8. 웹 해킹 실습 로그인 폼이 있는 것을 확인할 수 있었습다 당연히 로그인 폼이 나와있으니 아무 값이나 넣어서 진행을 해봤습니다당연히? 틀렸다고 나옵니다 요청을 하게 되면이런식으로 응답을 하는 것을 확인할 수 있었습니다  JS코드를 봅시다코드 해석사용자가 입력한 id와 pw 값이 동일한지 확인하는데 만약 같다면, 경고창이 뜨고 id와 pw 입력란을 비우며 다시 입력하도록 유도합니다. 값이 다른 경우에는 폼이 제출되도록 구성되었습니다  ↓ ↓상세 설명 ↓ ↓ 더보기 var id = document.web02.id.value;와 var pw = document.web02.pw.value;는 웹 폼의 id와 pw 필드 값을 변수에 저장 if ( id == pw ) 조건문은 id와 pw가 동일한지를 확인 동일할 경우 경고창이 뜨..
FTP 보안
해킹&보안/웹 & 앱 2024. 9. 21. FTP 보안 FTP1. 하나의 호스트에서 다른 호스트로 파일을 복사하기 위해 TCP/IP에 의해 제공되는 표준 기능이다.2. 호스트 간에 두 개의 연결을 설정한다는 점에서 다른 클라이언트 서버 응용들과 다르다.3. 하나의 연결은 데이터 전송을 위해 / 다른 하나는 명령과 응답 등의 제어 정보를 위하여 사용한다. FTP 로그인 순서와 인증1. USER 명령을 통해 사용자명을 전송하여 어떤 사용자가 접근을 시도하는지 확인한 후 PASS명령을 통해 사용자의 비밀번호를 전송한다2. 서버는 DB에서 사용자명과 비밀번호를 대조해서 접근을 시도하고 있는 사용자가 서버에 접근할 권한이 있는지 확인한다. FTP 연결FTP Active Mode(능동) / FTP Passive Mode(수동)  FTP Active Mode(능동)특징F..
VPN
해킹&보안/네트워크 2024. 9. 21. VPN VPN이란1. 공중 네트워크를 통해 사설 네트워크가 필요로 하는 서비스를 제공하는 방식으로 구성된 네트워크를 "가상 사설 네트워크(VPN)"라고 한다즉, 인터넷과 같은 공중 네트워크를 마치 전용회선처럼 사용할 수 있게 해주는 기술 or 네트워크를 통칭한다2. 공중망을 경유하여 데이터가 전송되더라도 외부인으로부터 안전하게 보호되도록 주소 및 라우터 체계의 비공개, 데이터 암호화, 사용자 인증 및 사용자 액세스 권한 제한 등의 기능을 제공한다.특징사용자가 필요에 따라 자체적으로 보안성을 적용한 네트워크를 구축할 수 있다. 이는 IPSec이나 TLS/SSL 등의 보안 프로토콜을 네트워크 관리자의 구성이 아닌 사용자의 요구로 적용시킬 수 있다는 것이다.이미 구축 돼있는 사설망의 연결, 모바일 환경, 외부와의 보..
상태 코드 확인 및 변경 (실습)
해킹&보안/웹 & 앱 2024. 9. 15. 상태 코드 확인 및 변경 (실습) 상태 코드는 Express에서만 결정하는 것만이 아니라 웹 애플리케이션의 개발자가 결정할 수도 있다.요청하는 파라미터가 서버가 정한 형식과 맞지 않으면 잘못된 요청 정보의 상태를 브라우저에 전달할 수 있다.  // (routes/api.js)router.get("/", (req, res) => { let message = req.query.message; //추가 res.send({ message }); //수정});api.js의 GET 라우팅에 쿼리 스트링 message의 값을 받는 코드를 추가한다res.send함수의 인수로 message변수를 설정하도록 수정한다서버를 재시작하고 http:/ /localhost:3000/api/?message=hello로 접속하면 아래와 같이 표시된다/..
GET / POST로 데이터 전송하기 (실습)
해킹&보안/웹 & 앱 2024. 9. 14. GET / POST로 데이터 전송하기 (실습) HTTP서버는 미리 생성해놨으며, HTTP 통신으로 데이터를 송수신하는 API를 구현해볼 것이다. 서버는 경로와 HTTP 메서드에 따라 작업의 분기 처리가 가능하다.GET /api 요청을 보내면 /api 경로에 대한 GET 작업을 처리한다.POST /api는 같은 경로에 대해 POST작업을 처리한다처리 경로를 선택하는 과정을 routing(라우팅)이라고 한다//routes/api.jsconst express = require("express");const router = express.Router();router.get("/", (req, res) => { res.send({ message: "Hello" });});module.exports = router;Express를 불러온 뒤 라우팅용 객체..
IDS
해킹&보안/네트워크 2024. 9. 12. IDS IDS자원의 가용성, 무결성, 기밀성을 위협하는 비정상적인 사용, 오/남용 등의 행위를 실시간으로 감지하여 관리자에게 경고를 전송하고, 이에 대한 대응을 돕는 시스템특징 : 내부/외부망의 접속점에 위치하여 방화벽의 부족한 부분 보강을 위해 사용 장점IPS보다 적극적인 방어가능, 내부 사용자의 오/남용 탐지 및 방어 가능해킹 사고 발생시 어느 정도의 근원지 추적 가능단점대규모 네트워크에 사용에는 곤란, 관리 및 운영 어려움새로운 기법에 대한 즉각적인 대응 곤란실행 순서데이터 수집 → 가공 및 축약 → 침입분석 및 탐지 → 보고 및 대응 종류 종류탐지 방법행위 기반, 지식 기반기능적 특성대응 방법수동적, 능동적데이터 수집원호스트 로그파일, 네트워크 패킷탐지 시점사후 분석, 실시간 분석비기능적 특성 규칙기반..
최신 DDoS 공격유형 (패킷분석)
해킹&보안/네트워크 2024. 9. 11. 최신 DDoS 공격유형 (패킷분석) 이전 글의 이론에 이어서 패킷도 몇 가지 알아보겠습니다.https://shsecurity1.tistory.com/110 최신 DDoS 공격유형 ~이번 글에서는 이론, 다음 글에서 패킷분석(실습)으로 나눌 예정대역폭 공격(1) - UDP, ICMP FloodingUDP Flooding : 출발지 IP를 위.변조한 후 UDP 프로토콜로 대규모 데이터를 생성해 피해 대상 시스템을shsecurity1.tistory.com 대역폭 공격UDP Flooding패킷의 크기는 1442로 많이 큰 편이고, 사진 아래 부분이 잘려서 안보이긴 하지만 데이터가 "xxxxxxxx..."로 되어있다. 이 형태는 의미 없는 값인 것으로 볼 수 있고 패킷의 크기를 의도적으로 크게 만들기 위한 목적으로 볼 수 있다.출발지 IP가 무작위..

티스토리툴바