목록분류 전체보기 (102)
Bazinga!
보호되어 있는 글입니다.
Cross Site Scripting(XSS) 사용자로부터 입력받은 데이터를 검증 및 Escape 처리하지 않을 경우 발생하는 취약점 웹 서비스를 대상으로 악성 스크립트를 삽입해 공격자가 원하는 행위를 수행하는 취약점 유형이다. 이 취약점을 이영해 세션과 같은 인증정보 탈취 및 사용자 행동 추적, 민감정보 수집, 웹서비스 기능 임의 조작 등의 공격을 수행할 수 있다. 3가지 유형으로 분류된다.① 반사형(Reflected)② 저장형(Stored)③ DOM기반(DOM-Based) XSS 1. Relected XSS 악성 스크립트가 삽입된 URL에 사용자가 접근했을 때, 즉시 반영되어 실행되는 경우시용자가 입력한 스크립트가 검증없이 웹 서비스에 포함되는 경우 공격을 수행하게된다.서버에 저장되지 않는 유형이다..
기사 출처 : https://www.boannews.com/media/view.asp?idx=132269&kind= 록빗 2.0 암호화 추정 침해사고 발생, 침해 프로세스 살펴보니모든 파일을 ‘.lockbit’ 확장자로 암호화하는 형태로 추정되는 침해사고가 최근 발생했다. 해당 랜섬웨어는 ‘록빗 2.0’(Lockbit 2.0)으로 감염된 PC의 모든 파일을 ‘파일명.확장자.lockbit’의 형식www.boannews.com
쿠키(Cookie)쿠키란 웹브라우저에 저장하는 데이터를 의미한다.쿠키값을 이용해 사용자에 대하여 웹서비스에 접근할 수 있는 인증 정보(세션), 상태 정보들을 저장하는데 이용된다.쿠키는 Key=Value 형태로 사용된다. 쿠키값은 개발자 도구 - 어플리케이션 - 왼쪽 또는 단축키 F12로 확인할 수 있다. 이용자(클라이언트)가 서버에다가 요청을 전송할 때마다 쿠키를 포함해서 전송한다.서버에서는 쿠키값을 통해 이용자에 대해서 정보를 조회 식별하여 맞는 결과값을 출력해 준다. ※ 만약 이용자가가 서버에 전송한 값에 쿠키 값이 없다면?서버 측에서 이용자의 쿠키를 생성(할당)하여 데이터를 전송해 준다. ※ 쿠키 값은 어떻게 탈취할까?쿠키 값은 변조가 가능하여 공격자가 사용자 정보를 쿠키 값으로 입력을 하면 서..
임의의 텍스트 파일은 비박스에 생성하고 cmd로 명령을 받는 txt파일을 생성하였다. 2. RFI 비박스가 취얀한 서버 칼리가 공격자일 경우 Documents에 txt파일 저장 경로를 이동하면서 내가 만든 파일의 경로를 찾으면 된다. Documents에 저장을 했으니 바로 Documents를 입력해보았다. kali주소와 파일경로 cmd명령을 입력 ------------------------------------------ LFI&RFI 취약점 위험 예방 : 원격지 파일을 열지 못하도록 php 환경설정 파일을 수정한다. ON -> OFF로 변경
2 인증결함무작위 대입공격아이디 bee 비밀번호 3자리라고 가정시간이 오래걸리기때문에 경우의 수를 확 줄여보았다 length를 비교해보면 유독 길이가 다른게 있다. 그것의 응답을 보면 비밀번호를 알 수 있다? -----------------------------
1.2.3. 4. column 확인 table_name = "users" 5. data 추출 6. boolean-based 7. Login form/Hero 8. Login Form/User sqlmap -u "http://192.168.213.129/bWAPP/sqli_16.php" --cookie="security_level=0; has_js=1; PHPSESSID=e67786e59e6d0f6469909fe8775fb680" --data "login=aaaa&password=bbbb&form=submit" --dbs sqlmap -u "http://192.168.213.129/bWAPP/sqli_16.php" --cookie="security_level=0; has_js..
보호되어 있는 글입니다.