본문 바로가기

해킹&보안/웹

GET / POST로 데이터 전송하기 (실습)
해킹&보안/웹 2024. 9. 14. GET / POST로 데이터 전송하기 (실습) HTTP서버는 미리 생성해놨으며, HTTP 통신으로 데이터를 송수신하는 API를 구현해볼 것이다. 서버는 경로와 HTTP 메서드에 따라 작업의 분기 처리가 가능하다.GET /api 요청을 보내면 /api 경로에 대한 GET 작업을 처리한다.POST /api는 같은 경로에 대해 POST작업을 처리한다처리 경로를 선택하는 과정을 routing(라우팅)이라고 한다//routes/api.jsconst express = require("express");const router = express.Router();router.get("/", (req, res) => { res.send({ message: "Hello" });});module.exports = router;Express를 불러온 뒤 라우팅용 객체..
웹 실습
해킹&보안/웹 2024. 8. 21. 웹 실습 본 블로그의 정보는 공부 목적입니다. 허가 없이 어떠한 공격, 악용하는 경우 모든 법적 책임은 사용자 본인에게 있습니다.문제"할로윈 파티를 위해 호박을 준비했고 10000번 클릭해서 flag를 얻어라"html을 들어가니까 호박과 함께 10000번을 누르라는 문구가 나와있다. 호박을 9번 클릭하니 하나씩 감소하는 것을 확인했다.↓ ↓ 한번한번 클릭해서 플래그를 얻기에는 힘들기에 소스코드를 찾아봤다. click the pumpkin to make a jack-o-lantern! ..
모의해킹 실습1 [비밀 관리 서버 침투]
해킹&보안/웹 2024. 8. 10. 모의해킹 실습1 [비밀 관리 서버 침투] 본 블로그의 정보는 공부 목적이며 가상환경에서 진행하였습니다. 허가 없이 어떠한 공격, 악용하는 경우 모든 법적 책임은 사용자 본인에게 있습니다.어느 한 일당의 비밀관리 서버라고 한다.침투 대상의 IP는 10.10.194.168(나중에 아이피가 10.10.185.84 로 바뀜)ICMP 패킷을 20번 보내보고 네트워크 상에서 접근 가능한지 확인해보니 접근 가능할 것 같다.  nmap으로 어떤 포트가 열려있는지 확인해보니 22번, 80번 포트가 있고 둘 다 열려있는 것을 확인했다 22번, 80번 포트를 대상으로 아래와 같은 기능을 하는 옵션을 활용했다 ( 좀 더 자세한 정보)ㅤ1 어떤 서비스가 실행 중인지, 서비스의 버전 정보 파악2 기본 스크립트 실행으로 추가적인 정보 수집3 핑을 생략하고 직접 스캔 수행..
OWASP TOP 10
해킹&보안/웹 2024. 7. 31. OWASP TOP 10 OWASP TOP 10TOP 10은 웹 애플리케이션의 보안 취약점 중 가장 흔하고 치명적인 10가지를 선정한 리스트이고OWASP는 웹 애플리케이션 보안 향상을 목표로 하는 비영리 단체로, 주기적으로 TOP 10 리스트를 업데이트하여 보안 전문가와 개발자들에게 유용한 정보를 제공한다.3~4년 주기로 새로운 TOP10을 발표한다. https://owasp.org/ OWASP Foundation, the Open Source Foundation for Application Security | OWASP FoundationOWASP Foundation, the Open Source Foundation for Application Security on the main website for The OWASP Fou..
XSS
해킹&보안/웹 2024. 7. 31. XSS XSS(Cross Site Scripting)는 클라이언트 사이드 취약점의 대표적인 공격으로 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점이다.CSS로 쓰는것이 맞지만 스타일시트 언어인 CSS와의 중복때문에 혼동이 올 수 있어서 XSS로 사용한다  XSS 공격XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다예를 들면 로그인, 회원가입 하면 "ㅇㅇㅇ님 환영합니다"를 출력하는 상황.Stored XSSXSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSSReflected XSSXSS에 사용되는 악성 스크립트가 URL에 사용되고 서버의 응답에 담겨오는 XSSDOM-based XSSXSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS (Fragm..
쿠키&세션
해킹&보안/웹 2024. 7. 30. 쿠키&세션 HTTP(Hyper Text Transfer Protocol)서버와 클라이언트 간 데이터 교환을 요청(Request)과 응답(Response) 형식으로 정의한 프로토콜팀 버너스 리가 제정, 현대 웹 서비스의 기반주로 TCP/80 또는 TCP/8080 포트 사용HTTP 메시지클라이언트가 전송하는 HTTP 요청, 서버가 반환하는 HTTP 응답이 있다.POST / login HTTP / 1.1Connection:keep-aliveUser-Agent: Mozilla/5.0 (Macintosh: Intel Mac OS X 10_14_6)AppleWebkit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88Safari/53736content-length:67content-type:..
취약점 (vulnerability)
해킹&보안/웹 2024. 5. 27. 취약점 (vulnerability) 취약점이란 컴퓨터에 어떤 명령을 내리고 싶다면 프로그램이 필요하다. 올바르게 만들어진 프로그램이라면 컴퓨터는 의도한 대로 작동하게된다. 프로그램을 잘못 만들었다면 결과물이 다르게 나오거나 도중에 멈추는 등 의도하지 않은 동작을 하게된다.  이렇게 프로그램이 잘못 작동하는 것을 버그(Bug)라고 한다. 의도한 대로 프로그램을 동작시키고 싶다면 프로그램에 있는 버그를 없애야 한다. 버그 중에는 이를 악용해 정보를 유출하거나 데이터를 변경하는 등의 피해를 주는 것이 있다. 이렇게 악용 가능한 버그를 일컬어 '취약점'이라고 한다. 우명한 취약점으로 'SQL 인젝션'과 'XSS' 등이 있다. 취약점 진단이란프로그램 버그는 테스트를 통해 발견하고 수정한다. 취약점도 마찬가지다. 취약점을 반견하기 위한 테스트 방법을..

티스토리툴바