본문 바로가기

해킹&보안/웹 & 앱

SQL Injection
해킹&보안/웹 & 앱 2024. 8. 2. SQL Injection SQL인젝션데이터베이스를 사용하는 웹 프로그램에서 SQL을 호출할 떄 발행할 수 있는 취약점이다.개인정보나 기밀 정보 노출과 직결되는 경우가 많다 대부분의 웹 프로그램은 DB를 이용하고 있으며, 테이블 안에 데이터 검색, 추가, 삭제 같은 처리를 해야할 떄 SQL을 사용해 데이터베이스에 명령을 내린다. 만약 SQL을 호출하는 부분에서 문자열 필터링 등을 하지 않거나 미흡하게 구현했다면 변조된 SQL 구문을 삽입해서 실행시킬 수 있다. 쉽게 이해해보면 웹사이트의 입력 필드(예: 로그인 창, 검색 창)에 악의적인 데이터를 입력하여 시스템의 정보를 몰래 들여다보거나 조작할 수 있는 기법이다.  SQL 인젝션 공격의 순서 1 웹사이트와 데이터베이스의 관계 설정웹사이트와 데이터베이스: 웹사이트는 사용자의 데이터를..
OWASP TOP 10
해킹&보안/웹 & 앱 2024. 7. 31. OWASP TOP 10 OWASP TOP 10TOP 10은 웹 애플리케이션의 보안 취약점 중 가장 흔하고 치명적인 10가지를 선정한 리스트이고OWASP는 웹 애플리케이션 보안 향상을 목표로 하는 비영리 단체로, 주기적으로 TOP 10 리스트를 업데이트하여 보안 전문가와 개발자들에게 유용한 정보를 제공한다.3~4년 주기로 새로운 TOP10을 발표한다. https://owasp.org/ OWASP Foundation, the Open Source Foundation for Application Security | OWASP FoundationOWASP Foundation, the Open Source Foundation for Application Security on the main website for The OWASP Fou..
XSS
해킹&보안/웹 & 앱 2024. 7. 31. XSS XSS(Cross Site Scripting)는 클라이언트 사이드 취약점의 대표적인 공격으로 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점이다.CSS로 쓰는것이 맞지만 스타일시트 언어인 CSS와의 중복때문에 혼동이 올 수 있어서 XSS로 사용한다  XSS 공격XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다예를 들면 로그인, 회원가입 하면 "ㅇㅇㅇ님 환영합니다"를 출력하는 상황.Stored XSSXSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSSReflected XSSXSS에 사용되는 악성 스크립트가 URL에 사용되고 서버의 응답에 담겨오는 XSSDOM-based XSSXSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS (Fragm..
쿠키&세션
해킹&보안/웹 & 앱 2024. 7. 30. 쿠키&세션 HTTP(Hyper Text Transfer Protocol)서버와 클라이언트 간 데이터 교환을 요청(Request)과 응답(Response) 형식으로 정의한 프로토콜팀 버너스 리가 제정, 현대 웹 서비스의 기반주로 TCP/80 또는 TCP/8080 포트 사용HTTP 메시지클라이언트가 전송하는 HTTP 요청, 서버가 반환하는 HTTP 응답이 있다.POST / login HTTP / 1.1Connection:keep-aliveUser-Agent: Mozilla/5.0 (Macintosh: Intel Mac OS X 10_14_6)AppleWebkit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88Safari/53736content-length:67content-type:..
취약점 (vulnerability)
해킹&보안/웹 & 앱 2024. 5. 27. 취약점 (vulnerability) 취약점이란 컴퓨터에 어떤 명령을 내리고 싶다면 프로그램이 필요하다. 올바르게 만들어진 프로그램이라면 컴퓨터는 의도한 대로 작동하게된다. 프로그램을 잘못 만들었다면 결과물이 다르게 나오거나 도중에 멈추는 등 의도하지 않은 동작을 하게된다.  이렇게 프로그램이 잘못 작동하는 것을 버그(Bug)라고 한다. 의도한 대로 프로그램을 동작시키고 싶다면 프로그램에 있는 버그를 없애야 한다. 버그 중에는 이를 악용해 정보를 유출하거나 데이터를 변경하는 등의 피해를 주는 것이 있다. 이렇게 악용 가능한 버그를 일컬어 '취약점'이라고 한다. 우명한 취약점으로 'SQL 인젝션'과 'XSS' 등이 있다. 취약점 진단이란프로그램 버그는 테스트를 통해 발견하고 수정한다. 취약점도 마찬가지다. 취약점을 반견하기 위한 테스트 방법을..
웹 애플리케이션 모의해킹
해킹&보안/웹 & 앱 2024. 5. 15. 웹 애플리케이션 모의해킹 웹 애플리케이션 모의해킹 개념 모의해킹(Penetration Testing): 해커가 시스템에 침투하려고 시도하는 것을 시뮬레이션하고, 그 결과로 발견된 취약점을 해결합니다.공격 기법 이해: 모의해킹은 다양한 공격 기법을 이해하고 시험하는 것을 포함합니다. 이는 SQL Injection, Cross-Site Scripting(XSS), Cross-Site Request Forgery(CSRF), 인증 및 세션 관련 취약점 등을 포함합니다.보안 취약점 분석: 웹 애플리케이션 모의해킹은 애플리케이션의 코드와 구조를 분석하여 잠재적인 보안 취약점을 식별합니다. 이러한 분석은 코드 검사, 프록시 사용, 스캐닝 도구 사용 등을 포함할 수 있습니다.해킹 시뮬레이션: 실제 해킹 시나리오를 시뮬레이션하여 애플리케이션의..
Brute Force Attack
해킹&보안/웹 & 앱 2024. 5. 5. Brute Force Attack 본 블로그의 정보는 공부 목적입니다. 허가 없이 어떠한 공격, 악용하는 경우 모든 법적 책임은 사용자 본인에게 있습니다.의미&특징브루트포스(전수 조사 공격)은 암호학에서 카이사르암호(시저암호)등에 적용할 수 있는 공격이다.이 공격은 모든 경우의 수를 모두 대입하여 평문을 찾아내는 방법이다.간단하고 직관적인 방법이지만, 경우에 따라 실행 시간이 매우 길어질 수 있다. 특히 입력의 크기가 클 때는 모든 가능한 경우의 수를 시도하는 것이 현실적으로 불가능할 수도 있다. 암호학 공부 시작했을 때 카이사르 암호부터 시작을했다. 이 카이사르 암호가 전수조사 공격에 취약하다고 들었고 그 공격을 코드로 구현해서 암호문을 해독해보면 어떨까 싶어 파이썬으로 구현해보기로 했다.  시나리오A는 길을가다가 쪽지를 주웠고 쪽지안..

티스토리툴바