보안 썸네일형 리스트형 Web Hacking 4탄 쿠키취약점 말도많고 탈도많은 쿠키!! 어떻게 사용하면 잘사용 하는걸까요?앞으로 나오는 no_document.cookie등은 자동으로 "no_"앞에 가 붙습니다Unicorn3에서 보안상 필터링하게 되어있기 때문입니다 앞에 "no_"가 없는것으로 간주하시면 됩니다① 쿠키취약점쿠키로 인증하는 사이트에 접속하여 로그인한 후 쿠키값 확인을 해봅니다javascript:alert(no_document.cookie) 로그인 하지 않은 상태라면 다음과 같이 세션 아이디만 나오게 되며로그인 한 상태라면 다음과 같이 쿠키이름과 쿠키값을 쌍으로 정보가 출력됩니다관리자 아이디가 goodbug 라고 가정하고 이 아이디로 조작하기 위해서는 다음과 같이 입력합니다javascript:a=prompt(no_document.cookie,"");al.. Web Hacking 3탄 구멍난 자바스크립트 1. 시작하기 여러분들은 사용자가 입력한 값에대해 어느정도 검증을 하는지요? 사용자 값을 이것저것 따지고 여러가지 유효성을 체크할려면 아주 귀찮은 일이 아닐수 없습니다 그중에 하나가 웹브라우져에서 실행되는 자바스크립트로 체크하는 방법이 있는데 비지니스 로직이 조금 복잡할때는 자바스크립트로 도배를 하는 경우도 종종 있지요 유효성 검증하는일 저도 정~~말 싫어합니다 하지만 해야 합니다 ㅠ.ㅠ 그럼 어디까지 그 유효성을 체크해야 할까요? 자바스크립트로만 체크하면 될까요? 처음 웹프로그래밍을 할때는 저도 자바스크립트로만 입력값을 검증하면 되는줄 알았습니다 한마디로 몰랐죠 하지만 이제는 알기때문에 자바스크립트뿐만 아니라 서버쪽에서도 동일하게 체크해 주어야 합니다 사용자가 입력한 값이 얼마나 무서운지는 앞의 1탄,.. Web Hacking 2탄 파일조작 1. 시작하기해커가 하나의 웹사이트를 공격하기 위해 많은 시간을 준비한다고 했습니다그중에 가장 먼저 하는것 중에 하나가 바로 파라미터와 그 값에대한 목록 정리 입니다즉 타겟 웹사이트의 모든 URL 파라미터를 GET, POST등으로 정리를 합니다http://xxxxxxxx.com/pds/list1.php?cnum=2http://xxxxxxxx.com/pds/list2.php?cnum=2&snum=21http://xxxxxxxx.com/view.php?fnum=104591http://xxxxxxxx.com/bbs/bbs.php?table=bbs_sw_qnahttp://xxxxxxxx.com/bbs/bbs.php?f=write&table=bbs_sw_qnahttp://xxxxxxxx.com/bbs/bbs.ph.. Web Hacking 1탄 Sql Injection Web Hacking 1탄 SQL InjectionWeb Hacking 2탄 파일조작Web Hacking 3탄 구멍난 자바스크립트1. 시작하기가끔 뉴스나 방송에서 xx 사이트 해킹 당했다 라고들 많이 들어보았을 겁니다이런 뉴스를 접할때 대체 어떻게 해서 해킹이 당하는걸까? 라고들 많이 생각해 보았을 겁니다어떻게 해킹이 일어나는지 알아야 방어도 가능하기 때문에 이번 강좌는 웹해킹에 대해 알아볼 것입니다첫번재 시간으로 SQL Injection을 배울 것이며 그다음 두번째에는 파일조작으로 인한 해킹을, 그리고 마지막 시간에는 자바스크립트 조작에 대해 알아보겠습니다도표에서도 알수 있듯이 SQL Injection으로 인한 해킹이 가장 간단하고 쉽기 때문에 이를 가장먼저 알아보겠습니다SQL Injection 이란 .. 크로스 사이트 스크립트 취약점 [-脆弱點, Cross Site Scripting Vulnerability] 게시물에 실행 코드와 태그의 업로드가 규제되지 않는 경우 이를 악용하여 열람한 타 사용자의 개인용 컴퓨터(PC)로 부터 정보를 유출할 수 있는 보안 취약점. 게시판에 새 게시물을 작성하여 등록할 때와 같이 사용자의 입력을 받아 처리하는 웹 응용 프로그램에서 입력 내용에 대해 실행 코드인 스크립트의 태그를 적절히 필터링하지 않을 경우에 악의적인 스크립트가 포함된 게시물을 등록할 수 있어 해당 게시물을 열람하는 일반 사용자의 PC로부터 개인 정보인 쿠키를 유출할 수 있는 등의 피해를 초래할 수 있다. 예를 들어 글쓰기 본문에 다음과 같은 스크립트 문장을 입력했을 때 'XSS 취약점 존재' 경고창이 뜨면 스크립트가 수행된 것이므로 취약점이 있는 것이다. alert‘( XSS 취약점 존재’) ;.. 파일 업로드 취약점 [-脆弱點, File Upload Vulnerability] 게시판 등에서 스크립트 파일의 업로드 에 대한 규제가 없을 경우 이를 악용한 해커에 의해 악성 스크립트 파일이 수행될 수 있는 보안 취악점. 첨부 파일 업로드를 허용하는 홈 페이지 게시판에서 .php, .jsp 등의 확장자 이름의 스크립트 파일의 업로드를 허용할 경우에 해커가 악성 실행 프로그램을 업로드한 후에 홈 페이지 접속 방식으로 원격에서 서버컴퓨터의 시스템 운영 명령어 를 실행시킬 수 있다. 예를 들어 모든 게시판에 대해 php, php3, asp, jsp, cgi, inc, pl 등의 확장자를 지닌 파일의 업로드를 시도하여 업로드가 되면 취약점이 있는 것이다 출처: 네이버 용어사전 ================================================================.. 이전 1 다음