web hacking/all_the_thing
-
XSSweb hacking/all_the_thing 2022. 6. 22. 22:52
XSS란? 개념 XSS : 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다. -> 이용자가 삽입한 내용을 출력하는 기능에서 발생한다 목적 - 특정 계정의 세션 정보를 탈취하거나 악성 스크립트를 실행시킬 수 있다. 종류 Stored XSS : XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨옴 - 대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있다. - 불특정 다수에게 보여지기 때문에 높은 파급력을 가진다. Reflected XSS : XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨옴 - 대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창..
-
SQL Injectionweb hacking/all_the_thing 2022. 4. 26. 02:30
DBMS 웹서비스는 DB에 정보를 저장하고, 이를 관리하기 위해 DBMS를 사용한다. 종류 대표적인 DBMS Relational (관계형) MySQL, MariaDB, PostgreSQL, SQLite Non-Relational (비관계형) MongoDB, CouchDB, Redis RDMS는 행과 열의 집합으로 구성된 테이블의 묶음 형식으로 데이터를 관리한다. DBMS Misconfiguration 계정 및 권한이 적절하게 분리되지 않았거나 부릴요한 기능의 활성화, 그리고 DB의 보안 설정이 미흡한 경우 주의사항 - 서버에서 DBMS를 작동할 때는 DBMS 전용 계정을 만들어 사용해야 한다. (루트 계정이나 www-data 등의 계정으로 X) - 대소문자를 구분하지 않는 DBMS도 있으니 이를 확인해보..