#웹#보안#정보보안#리눅스#언어#시스템#네트워크#프로그래밍#해킹#워게임
SQL INJECTION[정의]SQL 인젝션 (SQL 삽입, SQL 주입으로도 불린다) 은 코드 인젝션의 한 기법으로 클라이언트의 입력값을 조작하여 서버의 데이터베이스를 공격할 수 있는 공격방식을 말한다. 주로 사용자가 입력한 데이터를 제대로 필터링, 이스케이핑하지 못했을 경우에 발생한다. 공격이 쉬운데 비해 파괴력이 어마어마 하기 때문에 시큐어코딩을 하는 개발자라면 가장 먼저 배우게 되는 내용이다. 이러한 injection 계열의 취약점들은 테스트를 통해 발견하기는 힘들지만 스캐닝툴이나 코드 검증절차를 거치면 보통 쉽게 발견되기 때문에 탐지하기는 쉬운 편이다.reference : 나무위키 [종류]sql injectionblind sql injectionunion injection ; blind sql ..
Color Scripter보안 공부를 하면서 다양한 언어를 많이 접하는데 블로그 포스팅할 때 소스 코드를 입력하는 경우가 많다. 하지만 그냥 평문으로 코드를 입력하면 이쁘지도 않고 가독성도 많이 떨어지는게 사실이다. 그래서 사람들이 포스팅할때 많이 사용하는 디자인된 소스 코드를 사용하기로 했다. 여러가지 찾아본 결과 Color Scripter라는 사이트를 찾았는데 무료로 소스코드를 하이라이팅 할 수 있는 사이트이다. 가장 사용하기 간편하고 이쁜 것 같아서 홍보도 할 겸, 사용방법을 포스팅 하려고 한다. [링크]https://colorscripter.com //웹페이지 직접 코딩https://colorscripter.com/pcver //PC 프로그램 버전 [디자인]Color Scripter는 3가지의 스..
Burp Suite[목적]웹 프록시 서버를 사용시 클라이언트와 서버간 통신을 주고 받을 때 전달되는 패킷을 중간에 가로채어 확인 및 조작할 수 있게 해주는 툴[주의 사항]해당 툴을 사용하여 악의적인 목적으로 이용 시에 발생되는 피해는 절대 책임지지 않음. 문제풀이 및 응용 테스트에만 사용하기를 권함. 프록시 서버[정의]클라이언트가 자신을 통해서 다른 네트워크 서비스에 간접적으로 접속할 수 있게 해 주는 컴퓨터나 응용 프로그램을 가리킨다. 서버와 클라이언트 사이에서 중계기로서 대리로 통신을 수행하는 기능을 가리켜 '프록시', 그 중계 기능을 하는 것을 프록시 서버라고 부른다.[서버 설정 방법]1) 크롬으로 진행 시, 크롬 오른쪽 상단에 점 3개로 되어 있는 메뉴 클릭, 설정에 들어간다. 2) 고급 설정 표..
구글 해킹(Google Hacking)[정의]구글 해킹(Google hacking)은 웹 사이트가 사용하는 구성과 컴퓨터 코드에 보안 구멍을 찾기 위해 Google 검색 및 기타 Google 응용 프로그램을 사용하는 컴퓨터 해킹 기술이다. 공격자는 개인정보 등 손쉽게 취약점을 찾을 수 있다. 구글해킹의 구글봇이 수집하는 데이터를 서버에 캐시상태로 저장하기 때문에, 해당 사이트가 삭제되거나 한 후에도 오랜 시간이 지나기 전엔 검색결과에 노출되기 때문에 이전 페이지가 그대로 노출 될 수 있으며, 이 데이터를 모으면 손쉽게 취약점을 찾을 수 있다.[주의 사항]해당 방법을 사용하여 악의적인 목적으로 이용 시에 발생되는 피해는 절대 책임지지 않음. 문제풀이 및 응용 테스트에만 사용하기를 권함.[공격 유형]따옴표(..
취약한 직접 객체 참조(directory listing)[정의]디렉터리 리스팅 취약점은 브라우징 하는 모든 파일을 보여준다. 원래의 목적은 문서의 공유로 파일 탐색기처럼 원하는 문서로 바로 찾아갈 수 있게 하는 용도였지만 최근에는 문서의 저장 및 열람이 가능하다면 문서의 취약점(백업파일 및 소스 코드, 스크립트 파일의 유출로 인한 계정 정보 유출 등등)을 이용해 악의적인 목적을 갖고 있는 사람들에게 탈취 및 웹 서버 공격이 이루어지기 때문에 보안 설정상 대부분 해당 기능을 사용하지 않는다.[주의 사항]해당 방법을 사용하여 악의적인 목적으로 이용 시에 발생되는 피해는 절대 책임지지 않음. 문제풀이 및 응용 테스트에만 사용하기를 권함.[공격 방법]html 페이지의 소스보기를 할 수 있을 때, 이미지 및 파일..