반응형 전체보기72 WebGoat 문제풀이 - 2. Ajax Security - LAB: DOM-Based Cross Site Scripting 개념 : Ajax(Asynchronous JavaScript and XML, 에이잭스)는 비동기적인 웹 애플리케이션의 제작을 위해 아래와 같은 조합을 이용하는 웹 개발 기법이다. 표현 정보를 위한 HTML(또는 XHTML)과 CSS동적인 화면 출력 및 표시 정보와의 상호작용을 위한 DOM, 자바스크립트웹 서버와 비동기적으로 데이터를 교환하고 조작하기 위한 XML, XSLT, XMLHttpRequest (Ajax 애플리케이션은 XML/XSLT 대신 미리 정의된 HTML이나 일반 텍스트, JSON, JSON-RPC를 이용 가능). 1) LAB: DOM-Based Cross Site ScriptingDOM(Document Object Model)은 웹페이지의 컨텐츠를 동적으로 수정할 수 있지만 공격자에 의해 .. 2018. 11. 21. WebGoat 문제풀이 - 1. General 실습 환경VM_Window7 ( WebGoat-5.4 ) General 탭 (HTTP Basics, HTTP Splitting) 1) HTTP Basics (실습에 앞서 paros가 제대로 동작 하는지 등 확인) Paros에 잡히는 모습을 볼 수 있다. 2) HTTP Splitting CWE-113 개념 : HTTP Request에 있는 파라미터가 HTTP Response의 응답헤더로 다시 전달되는 경우 파라미터 내 개행문자 CR 혹은 LF가 존재하면 HTTP응답이 분리될 수 있다. HTTP 응답 분할 (HTTP Response Splitting)공격은 이러한 취약점을 통해 응답 메시지에 악의적인 코드를 주입함으로써 XSS 및 캐시를 훼손하는 취약점이다. 의미WINDOWSUNIX/LINUXCarriage.. 2018. 11. 21. 로그인 페이지에 대한 인증 우회 간단 실습 실습설명 논리적 에러를 이용한 SQL Injection. 공격에 대한 인증 체계를 우회하여 계정과 암호없이 로그인하는 것을 테스트 한다. 실습 사이트 : http://demo.testfire.net (해당 실습등을 위해 만들어진 사이트라고 보면 된다.) 실습 시작 로그인 페이지에서 ID 와 PW 부분에 " '1 "을 입력한다.아래 사진과 같은 오류를 확인 할 수 있다. 쿼리 구조의 필드이름은 Username, password 이고,2개의 필드는 AND 구조로 연결되어 있으며,입력한 문자열은 쿼테이션 내에 포함된 것을 확인 할 수 있다. 추가적인 에러 확인을 위해 "'1 or"를 입력한다. 아래 사진과 같은 오류를 확인 할 수 있다. 입력한 '1 or 값에 쿼데이션(')이 양쪽으로 감싸는 구조라는 것을 .. 2018. 11. 20. [Network] FTP란? - 리눅스에서 바라본 FTP FTP - 인터넷상의 컴퓨터들간에 파일을 교환하기 위한 표준 프로토콜 Real FTP : ID / PASS 인증하는 사용자들 EX) user01 ..... Anonymous FTP : 인증 없는 사용자 EX) Anonymous ..... FTP 종류 wu-ftpd : 예전 RedHat Linux에서 사용하던 기본 FTP 프로그램 vsftpd : 현재 많이 사용되고 있는 기본 FTP 프로그램 proftpd : 현재 많이 사용되고 있는 기본 FTP 프로그램 기타(gssftp, tftp, sftp...) vsFTP (Very Secure FTP) ■ 프로그램: vsftpd ■ 데몬 & 포트 & 프로토콜: /usr/sbin/vsftpd, 20/21, TCP ■ 주 설정 파일: /etc/vsftpd/vsftpd... 2018. 11. 13. 이전 1 2 3 4 5 6 7 ··· 18 다음 반응형
