web hacking
-
1. Web Goat 설치하기web hacking/web goat 2022. 11. 24. 16:06
Web Goat(웹 고트)는 자바 기반으로 개발되어 있는 취약한 웹사이트입니다. Bee-Box나 DVWA 처럼 웹 취약점을 테스트할 수 있습니다. 이전에 둘다 사용해 본적 있지만, 주말에 'TS 보안 허점을 찾아라'라는 대회를 나가게 되어 Java 기반의 취약한 웹사이트가 있으면 좋겠다는 생각이 들어 Web Goat를 설치하게 되었습니다. Web Goat 환경 구축 Web Goat 환경 구축하는 방법엔 도커를 사용하는 방법과 자바를 이용해 구축하는 방법이 있지만, 저는 이미 자바가 설치되어 있으므로 자바를 이용해서 설치해보려 합니다. 먼저 Web Goat의 github에 들어가서 자바로 실행시키기 위한 JAR 파일을 다운로드 받습니다. https://github.com/WebGoat/WebGoat/rel..
-
XSSweb hacking/all_the_thing 2022. 6. 22. 22:52
XSS란? 개념 XSS : 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다. -> 이용자가 삽입한 내용을 출력하는 기능에서 발생한다 목적 - 특정 계정의 세션 정보를 탈취하거나 악성 스크립트를 실행시킬 수 있다. 종류 Stored XSS : XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨옴 - 대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있다. - 불특정 다수에게 보여지기 때문에 높은 파급력을 가진다. Reflected XSS : XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨옴 - 대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창..
-
SQL Injectionweb hacking/all_the_thing 2022. 4. 26. 02:30
DBMS 웹서비스는 DB에 정보를 저장하고, 이를 관리하기 위해 DBMS를 사용한다. 종류 대표적인 DBMS Relational (관계형) MySQL, MariaDB, PostgreSQL, SQLite Non-Relational (비관계형) MongoDB, CouchDB, Redis RDMS는 행과 열의 집합으로 구성된 테이블의 묶음 형식으로 데이터를 관리한다. DBMS Misconfiguration 계정 및 권한이 적절하게 분리되지 않았거나 부릴요한 기능의 활성화, 그리고 DB의 보안 설정이 미흡한 경우 주의사항 - 서버에서 DBMS를 작동할 때는 DBMS 전용 계정을 만들어 사용해야 한다. (루트 계정이나 www-data 등의 계정으로 X) - 대소문자를 구분하지 않는 DBMS도 있으니 이를 확인해보..