웹 보안 (11) 썸네일형 리스트형 SQL injection 이번 시간에는 OWSAP top 10 에서도 많이 나오는 injection 공격에 대해서 배워볼거야 injection 공격 중에서도 가장 많이 일어나는 공격이 바로 SQL injection인데 SQL injection이 어떤 방식으로 공격이 진행되는지 알아보도록 할께~ 먼저 내가 만든 웹 페이지에 3개의 계정으로 회원가입을 진행해보도록 할께 admin, test, jinwoo 라는 아이디로 3개의 계정을 만들고 DB에 계정들이 잘 입력되었는지 확인해보자 자 그러면 이제 로그인 창에 들어가서 접속이 잘 되는지 확인을 한 이후, 이제 여기서부터 injection 공격을 진행해도록 할건데 id , pw를 입력하는 곳에 'or' 1=1 입력 후 로그인을 시도해보도록 해보자 그리고 결과가 어떻게 나오는지 한 번 .. XSS 공격 오늘은 XSS 공격에 대해서 배워볼꺼야! 웹보안을 배웠다면 XSS 공격에 대해선 한번씩 들어봤을텐데 XSS 공격을 직접 실행해보고 cookie 값을 burp suite로 직접 탈취해보는 시간을 가져보도록 할께~ XSS 공격을 실행하기 전에 먼저 XSS 공격이 무슨 공격인지를 알고 가보도록 하자..! XSS 공격 = Cross Site Scripting 공격 공격자가 상대방의 브라우저에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 하는 것을 뜻해 밑에 그림을 보면 좀 더 이해하기 쉬울꺼야..!! 그래서 우리가 실습할 때 사용할 script 언어는 javascript로 script가 실행되는지 확인을 해볼꺼야 XSS 공격은 보통 Sto.. Web Hacking 오늘은 가상환경에서 만들어진 Web server를 hacking해보는 시간을 가져보도록 할꺼야...! 일단 web hacking할 OS를 실행시키고 해킹할 OS랑 공격자가 같은 network 안에 있다는 것을 가정하에 해당 실습을 진행해보도록 할께 network 192.168.10.0/24 vmnet8 kali = 192.168.10.138 회원가입 파일 login.html -> 로그인 파일 logout.php -> 로그아웃 파일 index.html -> 웹 페이지 초기화면 파일 hidden directory -> ??? 우리가 여기서 확인을 해야될 파일은 바로 hidden dir인데 여기에 어떤 정보가 있는지 확인을 못했어..! 한번 hidden dir로 URL을 옮겨가보도록 할께 HTTP respon.. 이전 1 2 다음
