Hacking 썸네일형 리스트형 [7]WebHacking(웹해킹) - CSRF 안녕하세요 CISA입니다. 이번강의는 CSRF에 대해 포스팅해볼텐데요, XSS와 비슷한 개념이라 이해하시면 되겠습니다. ▶ CSRF (Cross SIte Request Forgery) - CSRF 는 XSS와 달리 JavaScript를 사용할 수 없는 상태라도 공격이 가능하다. 사이트에서 제공하는 기능을 피해자의 웹 브라우저에서 요청시키도록 하는 공격이다. 공격자의 악성코드를 읽은 피해자는 요청을 서버로 보내게 되며, 서버는 피해자의 권한으로 요청에 대한 처리를 하게 된다. - 사전 승인된 요청을 취약한 웹 어플리케이션에 보내도록 함으로써 희생자의 브라우저가 공격자에게 이득이 되는 악의적인 공격기법 ▶ CSRF 발생 원인 - 개별 링크와 폼이 사용자 별로 예층 가능한 토큰을 사용할 때 발생한다. - 예층.. 더보기 [6]WebHacking(웹해킹) - Mass SQL Injection Mass SQL Injecion 한번의 공격으로 대량의 DB값이 변조되어 홈페이지에 치명적인 악영향을 미치는 공격 IDS/IPS/WAF 를 우회하기 위해 공격을 수행할때 사용되는 값들을 인코딩함 DB값을 변조할때 악성 스크립트가 삽입됨 사용자들은 변조된 사이트를 방문 시 봇이 설치되어 온라인 게임 계정해킹 및 해당 시스템이 DDOS의 Zombie가 되기도 함. 웹방화벽우회 기법 소스코드를 HEX값으로 변환후 삽입 날짜시간 데이터 출력 datename(part,date) datepart(part,date) select convert(char,getdate) [현재날짜] select datename(yy,getdate()), datepart(yy,getdate()) [년도] select datename(qq.. 더보기 [5]WebHacking(웹 해킹) - Blind SQL injection 안녕하세요. CISA입니다. 이번 강의는 SQL인젝션, 그중 Blind SQL Injection 을 강의해볼까합니다. SQL인젝션이 구문오류를 내어 서버에 치명타를 입히는 공격이었다면 Blind SQL INJECTION은 안에있는 데이터베이스까지 모두 파괴시키고, 가져올수있는 매우 위험한 공격입니다. Blind SQL Injection 악의적인 문자열 삽입 대신 쿼리결과로 나오는 참, 거짓에 따라 DB에 정보를 취득하는 공격기법입니다. 이 Blind SQL Injection 을 이용하면 숫자형태의 데이터까지도 알아낼수도 있습니다. 간단한 예제로 알아보도록하겠습니다. 정상적인 페이지 URL 입니다. 마지막에 " 을 넣어 봤습니다. -> 결과: 데이터베이스의 오류를 통해서 이서버는 무슨 데이터베이스를 사용하.. 더보기 [4] WebHacking - XSS(크로스 사이트 스크립팅) 안녕하세요. M1S Secur 입니다. 이번 강의에서는 'XSS' 라고하는, 아직까지도 많이사용되는 웹 해킹 기법에 대하여 포스팅 하도록 하겠습니다. XSS : Cross Site Scripting 의 약자로, CSS와 겹치기 때문에 XSS로 표기하며, 쿠키값 탈취 , 관리자 권한 획득, 악성코드 삽입 등에 이용됩니다. XSS는 주로 쿠키값을 탈취하여 관리자권한을 획득하는데 사용됩니다. 쿠키값이 뭔지 알아봐야겠죠? 쿠키값이란 , Cookie 로 나타내며 각 개인개인사용자마다 특정한 값입니다. 사이트마다 쿠키값이 전부 다르며이 쿠키값이 만약, 해커의 손에 들어가게 되면 해커가 내 자신이 될 수 있다는 점, 알아두시면 되겠습니다. (한국의 주민등록번호로 이해하시면 되겠습니다.) 인터넷 주소창에 javascr.. 더보기 [3]Web Hacking(웹 해킹) - Sql Injection 안녕하세요. M1S Secur 입니다. 이번강의는 SQL Injection 에 관해서 포스팅 해볼까합니다. 왜 해킹중에서도 웹해킹을 할까요? 그이유는 : Database(DB)서버와 연결이 되어있기때문입니다. SQL 에서 사용하는 문자를 '쿼리문' 이라고 일컫습니다. 1.SQL Injection 의 정의 - 데이터베이스로 전달되는 SQL Query를 변경시키기 위해 Web Application에서 입력 받은 파라메터를 변조 후 삽입하여 비정상적 인 데이터베이스 접근을 시도하거나 쿼리를 재구성하여 원하는 정보를 열람하는 해킹 기법 2.SQL Injection 공격 기법 - 인증우회 : 로긴 ( ID : ' or '1' = '1' -- Password : ******** ) - 권한상승 : 공격자가 DB의 .. 더보기 [2]Web Hacking 기초(웹 해킹 기초) - HTTP & JAVASCRIPT Web Hacking - HTTP 입니다. HTTP : '마우스 클릭만으로 필요한 정보로 직접 이동할 수 있는 방식' 예를들어 'N' 포털사이트에 들어가보면 여러가지 광고창과 다양한 카테고리들이 보이실겁니다. 그중 뉴스기사나, 다른 링크를 클릭하면 자동으로 화면이 넘어가지죠? 자 그럼 JAVASCRIPT에 대해 설명해보겠습니다. 자바스크립트란?: 자바스크립트는 사이에 프로그래밍 코드를 입력하는 형식입니다. 예를 들자면, 건축물 구조물 중에는 지붕, 기둥, 벽, 벽지, 등등의 자제가 존재하듯 이러한 하나하나의 요소들이 태그라고 볼 수 있습니다. 그렇다면 자바스크립트는 건축물의 색상을 바꾸고 수리도 하고 하는 일꾼이라고 보시면 됩니다. (N포털사이트 인용) 웹을 구성하는 많은 요소 중 하나가 이 자바스크립트.. 더보기 [1]Web Hacking 기초(웹 해킹 기초) - HTML Web Hacking 이전에, '웹' 에 대하여 이해하여야 시작 할 수 있겠지요? 웹이던 시스템이던간에 가장 기초인 프로토콜에 대해 아주 간단하게 설명하자면 '프로토콜' 이란 '컴퓨터간에 정보를 주고받을 때의 통신방법에 대한 규칙과 약속' 풀어쓰자면 ICMP/UDP/TCP와 같은 통신 종류라고 설명하면 이해하기 편하실겁니다. HTML : 웹을 구성하는 가장 기초적인 프로그래밍언어 라고 보시면됩니다. 웹 브라우저에서 오른쪽 마우스를 클릭하셨을때 '소스보기' 를 누르셨을때 나오는것이 HTML 소스입니다. HTML은 어려운 개념이 아닙니다.(위의 사진이 소스보기를 눌렀을때 나오는 HTML 소스입니다) 그럼 HTML은 어떻게사용할까요? HTML에는 '태그' 라는것이 존재합니다. '태그'라는것은 'HTML에서 사.. 더보기 이전 1 2 3 4 다음
