분류 전체보기(333)
-
SQL injection 개념, 원리
[ 원리 파악 하기 ] SQL injection- 데이터베이스와 연동되어 있는 애플리케이션의 입력값을 조작하여 DBMS가 의도되지 않은 결과를 반환하도록 하는 공격기법- 해당 애플리케이션에서 전송되어 오는 입력값에 대해 필터링이 없을경우 발생한다* DBMS: DataBase Management System ) [ 그림1 ] 게시판에 게시글을 작성하였고, 해당 게시글에는 파일을 첨부하였습니다 해당 파일의 조회수를 알려주는 " Download : 10 " , "Download : 1 " 이 보입니다파일을 다운로드하면 해당 Download가 1씩 증가합니다원리를 파악하기 위해서 페이지 소스코드를 확인해보도록 하겠습니다 [ 그림2 ] 파일이름을 클릭하면 " http://address/download.php " ..
2017.09.01 -
아파치 웹 서버 설정 파일 / 확장자 우회 / 웹쉘 / 바인드쉘 / 리버스쉘
1> 전역 설정 파일 ( 아파치 웹 서버 전체 웹페이지에 적용 )/etc/httpd/conf/httpd.conf 2> 로컬 설정 파일 ( .htaccess )해당 파일이 존재하는 디렉터리와 그 하위 디렉터리에만 설정이 적용된다사용하기 위해서는 /etc/httpd/conf/httpd.conf 338번 라인 " AllowOverride ALL "로 수정 후 사용해야 한다로컬 설정파일은 보통 아래와 같이 사용한다 로컬설정파일 작성경로 : /var/www/html/zboard/.htaccess ( zboard와 그 하위 디렉토리는 .htaccess 파일의 설정이 적용된다 )zboard 페이지에만 설정을 적용하려고 zboard디렉터리에 해당 파일을 작성한다 AuthType Bas..
2017.08.31 -
CSRF ( Cross Site Request Forgery )
CSRF ( Cross Site Request Forgery ) HTML태그를 이용한 요청값을 변조하는 공격법 # 관리자 권한을 가지고 있는 경우의 공격 위 화면은 관리자가 특정 계정에 대한 권한레벨을 임명해주는 페이지의 소스코드입니다해당 페이지를 분석해보면, form 태그에 변수들을 입력하고, " http://192.168.6.123/zboard/admin_setup.php " 페이지로 전송합니다전송된 변수들의 값에 따라서 특정 사용자의 권한레벨이 변경됩니다 ( 변수이름 : movelevel )그럼 위의 변수들을 조사해서 해당 변수값들을 이용한 공격을 해보겠습니다해당 페이지에서 사용하는 변수들은 다음과 같습니다[ form 태그 변수들 ]page= 1group_no=1exec=view_memberpage..
2017.08.29 -
XSS ( Cross Site Scripting ) 개념 및 실습
# XSS ( Cross Site Scripting )클라이언트에 대한 취약점을 이용한 javascript와 HTML 언어를 사용한 불특정 다수에게 하는 공격법이다공격자가 악의적인 코드를 사용자의 웹 브라우저에 심어놓으면 해당 사용자의 접속시 악성코드가 실행된다악성코드 유포나 실행 제어 등등 ... 응용가능 1> Stored XSS 게시글, 쪽지, 댓글, 등에 자바스크립트 코드를 입력하여 작성해놓는다공격대상자가 해당 웹 페이지를 열어볼 때, 자바스크립트 코드가 실행되어 공격을 당하게 된다공격방법은 아래 2가지 방법을 포함해 여러가지 방법이 있습니다 #공격방법 1. 게시글 작성시 스크립트 삽입[ 작성 화면 ] 게시글 작성시 스크립트 코드를 작성해놓았습니다사용자가 해당 게시글에 접속하면, script코드를 ..
2017.08.28 -
PHP와 MySQL을 활용한 게시판 만들기[4] - 게시글목록
게시글목록: 첫 페이지 화면에 게시글을 저장한 테이블을 불러들여와 화면에 출력하자[ index.php 소스코드 ]123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146 inde..
2017.08.25 -
PHP와 MySQL을 활용한 게시판 만들기[3] - 로그아웃, 게시글작성
[ logout.php ] - 로그아웃 페이지 12345678910111213141516171819202122232425262728293031323334353637
2017.08.24