| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- Dreamhack
- cloud
- bWAPP
- CodeEngn
- datastructure
- Systemhacking
- 자료구조
- EC2
- docker
- mount
- AWS
- acc
- cgroup
- Linux
- htmlinjection
- 와이어샤크
- SISS
- Reversing
- fork-bomb
- c
- wireshark
- beebox
- python
- 백준
- basicrce3
- System
- 유석종교수님
- backjoon
- pwnable
- Reflected
- Today
- Total
목록2022/07 (10)
Ctrl + Shift + ESC
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
[bWAPP] HTML Injection – stored (Blog)
HTML Injection Reflected URL에 악의적인 HTML 태그를 삽입하여 링크를 클릭한 사용자의 PC에서 HTML 태그가 실행되게 하는 공격이다. 공격자는 이메일, 게시판이나 SNS를 통해 악의적인 URL을 유포하고, 해당 URL을 클릭하면 피싱 사이트로 접속되어 개인 정보 유출, 악성 프로그램 설치 등의 피해를 입을 수 있다. Stored 서버에 악의적인 HTML 태그를 저장시켜, 사용자가 태그가 저장된 게시물을 읽을 경우 HTML 태그가 실행되게 하는 공격이다. 공격자는 게시글에 악의적은 스크립트를 삽입하고, 사용자가 게시글을 읽으면 태그가 실행되어 쿠키 정보 갈취, 악성 코드 유입, 랜섬웨어, 피싱 사이트 접속 등의 피해를 입을 수 있다. 저장(Stored) htmli_stor..
[bWAPP] HTML Injection – Reflected(POST)
HTML Injection Injection 인젝션 : 공격자가 악의적으로 주입한 데이터를 웹 애플리케이션에서 데이터베이스의 정상적인 쿼리 일부로 인식하고 실행할 때에 발생하는 취약점 데이터를 입력받거나 데이터베이스 정보를 요청하는 곳에는 인젝션 공격이 가능하다. 공격 방법이나 사용 언어에 따라 인젝션의 종류가 달라지는데, 대표적인 유형으로 SQL 인젝션, HTML 인젝션, OS Command 인젝션, LDAP 인젝션 등이 있다. HTML 인젝션 HTML 인젝션 : 코드 인젝션 공격의 하위 개념으로, 취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격 공격자는 사용자가 연결을 요청한 페이지에 HTML 태그를 삽입하여 의도하지 않은 내용을 보게 하거나 악의적인 사이트에 연결 시킬 수 있다. H..
[bWAPP] HTML Injection – Reflected(GET)
HTML Injection Injection 인젝션 : 공격자가 악의적으로 주입한 데이터를 웹 애플리케이션에서 데이터베이스의 정상적인 쿼리 일부로 인식하고 실행할 때에 발생하는 취약점 데이터를 입력받거나 데이터베이스 정보를 요청하는 곳에는 인젝션 공격이 가능하다. 공격 방법이나 사용 언어에 따라 인젝션의 종류가 달라지는데, 대표적인 유형으로 SQL 인젝션, HTML 인젝션, OS Command 인젝션, LDAP 인젝션 등이 있다. HTML 인젝션 HTML 인젝션 : 코드 인젝션 공격의 하위 개념으로, 취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격 공격자는 사용자가 연결을 요청한 페이지에 HTML 태그를 삽입하여 의도하지 않은 내용을 보게 하거나 악의적인 사이트에 연결 시킬 수 있다. H..
Node.js
Node.js - 1.수업소개 자바스크립트에 익숙한 웹 개발자들이 새로운 컴퓨터 언어를 배우지 않고도 웹 페이지를 자동으로 생성하는 서버 쪽 애플리케이션을 만들 수 있도록 만들어진 것이 node.js이다. 2008년 구글이 자바스크립트의 성능을 개선하기 위해서 v8엔진을 개발해 오픈소스로 공개했다. node.js의 창시자인 라이언이 v8 엔진을 기반으로 하는 node.js를 만들었다. 태초의 자바스크립트가 웹 브라우저를 제어하는 것이었다면 node.js는 자바스크립트를 이용해서 컴퓨터자체를 제어한다. Node.js - 2. 수업의 목적 수업의 목적 : 생산성을 높이는 것 node.js의 템플릿을 사용하면 한번에 여러 코드를 바꿀 수 있다. Node.js - 3.1.설치 (Wi..
2-1. session 1 - intro session : cookie를 기반으로 더 안전하고 많은 데이터를 저장하는 효과를 내는 방법 로그인 애플리케이션의 경우 사용자가 로그인을 하고 로그인이 성공했다면 다음에도 로그인을 할 수 있도록 값을 심어 놓을 수 있는데, 이는 보안에 이슈가 있다. 사용자의 컴퓨터와 서버가 서로 통신하는 과정에서 id나 비밀번호와 같은 중요한 정보가 왔다갔다 하는 것은 해킹의 위험이 있기 때문이다. 심지어 컴퓨터에 저장되어 있기 때문에 자리를 비운 동안 쿠키를 탈취해 갈 수 있다. 이러한 문제점을 보완하기 위해 서버 쪽에서 데이터를 저장할 수 있도록 세션을 사용한다. 사용자가 서버에 접속하면 서버는 데이터를 저장하는데, 쿠키 방식과는 다르게 오직 사용자의 식별자와 id값만을 저..
[Node.Js] 섹션 1. cookie
1-1. cookie 1 : intro cookie : 방문한 웹사이트에서 생성된 파일 인터넷 사용정보를 저장하기 때문에 쿠키를 사용하면 사이트에서 로그인 상태를 유지하고 사이트 환경설정을 기억하며 지역 관련 콘텐츠를 제공할 수 있다. cookie는 사용자마다 다른 상태를 유지할 수 있다. 검사 → resources → cookie를 삭제하면 count가 0으로 초기화되는 것을 확인할 수 있다. cookie의 response headers에서 set-cookie를 통해 cookie의 값을 알 수 있다. node.js를 이용해서 set-cookie의 count에 +1을 하라고 명령하면 웹 브라우저는 명령을 따라 값을 바꾸고 다음 접속에는 값이 바뀌게 되는 것이다. 1-2. cookie 2 - counter..
[Node.Js] 섹션 0. HTTP
HTTP : HyperText Transfer Protocol, 웹 브라우저와 웹 서버 사이에 서로 주고받는 규칙을 정의하는 통신 방법 웹 브라우저가 웹 서버에 정보를 요청(request)하면 그 요청에 따라 적당한 정보를 응답(response) 한다. 우클릭 → 검사 → Network를 선택하면 인터넷에서 동작을 실행하면 다운받는 파일들을 확인할 수 있다. html, css, js 등 다양한 파일이 있다. Request header 부분은 웹 브라우저가 웹 서버로 보낸 요청서이다. 해당 부분에서 파일의 형태, 기기 종류 등을 확인할 수 있다. 웹 브라우저와 웹 서버는 HTTP를 통해 통신하는데, request header과 response header을 통해 웹 애플리케이션이 잘 작동될 수 있게 한다...