웹 해킹

웹 해킹/웹 해킹 및 시큐어 코딩 기초

SQL Injection

1) SQL Injection이란 무엇인가?SQL은 RDBMS에서 데이터를 관리하기 위해 설계된 특수 목적의 프로그래밍 언어다.클라이언트와 웹 어플리케이션이 통신할 때 사용자 입력값에 SQL 구문 삽입을 통해 변조된 SQL 구문을 질의함. 이를 통해 데이터 조회, 삭제 등의 다양한 공격이 가능하다.  2) 취약점 발생 원인1. 공격자는 취약한 웹 어플리케이션을 대상으로 SQL 구문을 삽입한다.2. Server-Side Script에서 사용자 입력값을 받게되며, 미완성된 SQL 구문이 사용자 입력값을 통해서 완성된 SQL 구문으로 만들어진다. → 취약점 발생(입력 값 검증 없이 구문 조합하게 되는 경우)3. 완성된 SQL 구문으로 DB에 질의를 요청하게 된다.(변조된 SQL로 질의)4. DB는 질의에 대한..

웹 해킹/웹 해킹 및 시큐어 코딩 기초

버프 스위트(Burp Suite) 설치 및 사용법

버프 스위트(Burp Suite) 설치 및 프록시 설정구글에 burp suite download 검색 후 공식 홈페이지 접속하여 설치Pro 버전은 스캐너가 추가된 것이며, 무료 버전인 Community 버전을 사용한다.https://portswigger.net/burp/communitydownload 위 홈페이지 접속 후 Go straight to downloads를 클릭하여 바로 다운로드 페이지로 이동한다. Community Edition 선택 후 Download 버튼 클릭하여 다운로드 받는다. 다운로드 후 next 를 클릭하여 설치 완료한다.웹 브라우저에서 프록시로 향하는 통신을 설정해줘야 한다. 프록시 설정 방법1) 인터넷 옵션2) 웹 브라우저 확장 프로그램 설치 통신 방향은 다음과 같다. 클라이언..

웹 해킹/웹 해킹 및 시큐어 코딩 기초

웹 해킹에 대한 이해

웹 해킹이란 무엇인가?웹 서비스 상에서 발생될 수 있는 모든 보안 허점을 이용해 악의적인 행위를 하는 것= 웹 어플리케이션 해킹 웹 어플리케이션이란? = 웹 프로그래밍 언어(JSP, PHP, ASP 등)로 작성된 프로그램, 어플리케이션= 웹 브라우저를 통해서 방문하는 웹 사이트   해커들의 타겟, 웹 서비스방화벽 도입 후 웹 해킹 빈도가 높아졌다.방화벽은 IP와 Port를 기반으로 패킷을 필터링 한다. → OSI 7계층의 3,4계층 웹 서비스(대외 서비스) : HTTP(80), HTTPS(443)그 외 서비스: SSH(22), Telnet(23), FTP(21) 등웹 서비스를 제외한 나머지 서비스는 굳이 필요하지 않으므로 방화벽에서 차단한다.그러므로 웹 서비스에 대한 공격이 들어올 수 밖에 없고, 그에 ..

웹 해킹/웹 해킹 및 시큐어 코딩 기초

취약 환경 구축

취약 환경 구축기존에 XAMPP를 APM Setup 대신 사용하여 MySQL 실습을 진행하였으나, XAMPP로 취약 환경 구축 시 강의와 환경이 달라 에러가 발생하여, 강의와 동일한 환경 구축을 위해서 APM Setup으로 환경 구축을 다시한다.설치 후 C:\APM_Setup 경로의 php.ini 파일 내 magic_quotes_gpc 를 Off 로 변경해준다.magic_quotes_gpc는 GET, POST, 쿠키 등 사용자 입력값을 이스케이프 처리를 해준다는 의미다.' 를 입력하면 \' 가 출력된다는 의미이다. magic_quotess_gpc = Off 로 변경 후 Apache를 재기동한다.APM Setup 콘솔 Server status의 Apache를 Stop 후 다시 Start 한다. Apache..

웹 해킹/웹 기초 지식

웹의 탄생 및 발전

웹 기초 지식의 필요성웹은 다수의 사용자가 특정 서비스를 이용하며, 서로 대화도 나누고 정보를 주고 받는 생태계 구조이다. 이러한 환경 속에서 취약점 진단을 수행하기 위해 최소한의 지식이 반드시 필요하다.  1. 웹 기초에 대한 이해- 웹 통신이 어떻게 이루어 지는지- GET, POST 메소드- 세션, 쿠키 2. 웹 어플리케이션에 대한 이해- php, jsp, asp(게시판 만들기 → .CRUD, 로그인, 로그아웃, 회원가입) 3. 웹 어플리케이션 로직에 대한 이해 4. 취약점에 대한 이해 5. 응용 취약점에 대한 이해- 웹 어플리케이션 로직에 대한 이해가 선행되어야 함 6. 대응책 수립 가능   웹의 탄생과 발전웹은 다수의 네트워크가 모여서 형성된 공간으로 디바이스에 대한 제약없이 웹 클라이언트 프로그..

Security Engineer
'웹 해킹' 태그의 글 목록