| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- cryptography
- Web Hacking
- N0Named
- misc
- 그리디 알고리즘
- writeup
- 구현
- 정렬
- MySQL
- HackCTF
- 문자열
- 수학
- Forensics
- C
- wargame
- php
- CTF
- Digital Forensics
- 사칙연산
- Python
- Text
- 백준
- SuNiNaTas
- 인코그니토
- 써니나타스
- Database
- xcz.kr
- Network
- Web
- Incognito
- Today
- Total
목록Security (76)
보안을 그리다, 훈이
[Web Hacking] XSS Cheat Sheet
대표적으로 사용되는 XSS Cheat Sheet입니다. https://portswigger.net/web-security/cross-site-scripting/cheat-sheet Cross-Site Scripting (XSS) Cheat Sheet - 2021 Edition | Web Security Academy Interactive cross-site scripting (XSS) cheat sheet for 2021, brought to you by PortSwigger. Actively maintained, and regularly updated with new vectors. portswigger.net https://cheatsheetseries.owasp.org/cheatsheets/XSS_..
[Web Hacking] XSS(Cross-Site Scripting) 취약점
XSS(Cross-Site Scripting) 개념 XSS는 Cross-Site Scripting의 약어로, 공격자가 공격하려는 웹사이트에 스크립트를 삽입하여 사용자의 웹 브라우저에서 해당 코드가 실행되도록 하는 공격 기법이다. 따라서 사용자가 의도하지 않은 행동을 수행시키거나, 쿠키나 세션 토큰 등의 민감한 정보를 탈취하여 세션 하이재킹(Session Hijacking) 공격으로 악용될 수 있다. 대부분 사용자가 게시글을 작성하고 읽을 수 있는 게시판에서 많이 발생하며, 웹 페이지 상에서 사용자의 입력 값을 출력하는 곳에서도 발생한다. 기존에는 OWASP Top 10에 단독적으로 랭크되어 있던 XSS 공격 기법이지만, 이번 2021 OWASP Top 10 업데이트를 통해 Injection 공격 기법 범..
[Web Hacking] 2021 OWASP Top 10 목록
얼마 전, OWASP Top 10 2021년 버전이 공개되었다. OWASP | The Open Web Application Security Project OWASP는 오픈소스 웹 애플리케이션 보안 프로젝트이며, 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구한다.웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 3~4년 주기로 OWASP Top 10을 발표하며, 2021 OWASP Top 10은 2017년에 발표한 이후 4년만에 업데이트된 취약점 목록이다. 2021 OWASP Top 10 A01 : Broken Access Control (접근 권한 취약점) 엑세스 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책..
[Web Hacking] SQL Injection 실습
이전에 포스팅한 [Web Hacking] SQL Injection 취약점을 토대로 실습을 진행해보았다. [SQL Injection 실습] - Error based SQL Injection 논리적 에러를 이용한 SQL Injection 기법으로, 입력값에 대한 검증이 없을 시 참값과 주석을 활용하여 세션을 탈취할 수 있다. //입력된 아이디가 DB에 존재하는지 검사 $query = "select * from member where id='$id'"; $result = $connect->query($query); 앞서 제작한 게시판 웹페이지 중 [login_action.php] 페이지의 일부 소스코드를 가져왔다. 사용자가 입력한 아이디가 DB의 id 컬럼에 존재하면 그 값에 대한 전체 속성값을 가져오는 쿼리..
[Web Hacking] SQL Injection 취약점
[SQL Injection 개념] 웹 사이트의 보안상 허점을 이용해 특정 SQL 쿼리문을 전송하여 공격자가 원하는 데이터베이스의 중요한 정보를 가져오는 해킹 기법을 말한다. 대부분 클라이언트가 입력한 데이터를 제대로 필터링하지 못하는 경우에 발생한다. 공격의 쉬운 난이도에 비해 피해가 상당하기 때문에 보안 위협 1순위로 불릴만큼 중요한 기법이며, 실제로 OWASP Top 10 중 첫 번째(2017년 기준, 2021년 현재 세 번째)로 등재되어 있다 . [SQL Injection 종류] - Error based SQL Injection - 논리적 에러를 이용한 SQL Injection [로그인 쿼리문] SELECT * FROM member WHERE id = 'hooneee' AND password = '..
국내 해커스쿨(http://www.hackerschool.org/Sub_Html/HS_FTZ/html/ftz_main.html) 10개의 Training 코스 20개의 레벨업 방식 시스템 해킹 문제들 운영 : 해커스쿨 와우해커(http://webgame.wowhacker.com) 10개의 웹 문제 2개의 바이너리 문제 운영 : 와우해커 Hack-Me(http://hack-me.org) 총 50개의 문제 - 암호학, 스테가노그래피, 웹, 네트워크, 리버싱, 포렌식 운영 : Cherishcat, Bluebird Wargame.kr(http://www.wargame.kr) 총 35문제 - 웹, 시스템, 암호학, 리버싱, 코딩, 게임 운영 : blueh4g Webhacking.kr(http://webhackin..