"오늘은 파일 업로드 취약점에 대하여 알아보겠습니다"  파일 업로드 취약점은 공격자가 원하는 코드가 담긴 임의의 파일을 업로드 하는 취약점 입니다. 단순한 파일이 아닌 Server Side Script 를 사용하는 확장자의 파일을 업로드 하는것을 말합니다. *Server Side Script ? 더보기:서버측에서 실행되어 오는 코드를 말합니다.쉽게 생각하면 백엔드 언어 라고 생각하시면 됩니다. Server Side Script -> 서버에서 실행이 된다.(php,asp,jsp,python....)Client Side Script -> 클라이언트 측에서 실행이 된다.(HTML , CSS, Javascript....) 1.예를 들어 공격자가 이런 PHP 코드가 담긴 attack.php 파일을 서버에 업로드했..

저번시간엔 마이페이지에서 개인정보 수정 및 비밀번호 변경 기능을 구현했었습니다. https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-%EB%A7%88%EC%9D%B4%ED%8E%98%EC%9D%B4%EC%A7%80%EB%B9%84%EB%B0%80%EB%B2%88%ED%98%B8-%EB%B3%80%EA%B2%BD-%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4-%EC%88%98%EC%A0%95 [웹 개발] 마이페이지(비밀번호 변경 & 개인정보 수정)저번시간에는 게시글 검색기능을 구현하였습니다. https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-%EA%B..

저번시간에는 게시글 검색기능을 구현하였습니다. https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-%EA%B2%80%EC%83%89-%EB%B0%8F-%EC%A0%95%EB%A0%AC-%EA%B8%B0%EB%8A%A5-%EA%B5%AC%ED%98%84 [웹 개발] 검색 및 정렬 기능 구현저번시간에는 CRUD 페이지 구현을 진행하였습니다.https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-CRUD%EC%83%9D%EC%84%B1%EC%9D%BD%EA%B8%B0%EC%88%98%EC%A0%95%EC%82%AD%EC%A0%9C-%ED%8E%98%EC%9D%B4%EC%A7%80..

저번시간에는 CRUD 페이지 구현을 진행하였습니다.https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-CRUD%EC%83%9D%EC%84%B1%EC%9D%BD%EA%B8%B0%EC%88%98%EC%A0%95%EC%82%AD%EC%A0%9C-%ED%8E%98%EC%9D%B4%EC%A7%80-%EB%A7%8C%EB%93%A4%EA%B8%B0 [웹 개발] CRUD(생성,읽기,수정,삭제) 페이지 만들기저번시간엔 로그인&로그아웃 인증을 구현하였습니다. https://jamesbexter.tistory.com/entry/2%EC%A3%BC%EC%B0%A8-%EA%B3%BC%EC%A0%9C-%ED%9A%8C%EC%9B%90%EA%B0%80%EC%9E..

저번시간엔 로그인&로그아웃 인증을 구현하였습니다. https://jamesbexter.tistory.com/entry/2%EC%A3%BC%EC%B0%A8-%EA%B3%BC%EC%A0%9C-%ED%9A%8C%EC%9B%90%EA%B0%80%EC%9E%85-%ED%8E%98%EC%9D%B4%EC%A7%80-%EB%A7%8C%EB%93%A4%EA%B8%B0 회원가입 페이지 만들기" data-og-description=":  DB를 연동한 회원가입 및 로그인 페이지를 만들어라!           페이지 소개코드 분석1.    드디어 전과 다르게 Sign up 이라는 항목이 생겻다!이것을 누르게 되면! 이러한 회원가입 페이지" data-og-host="jamesbexter.tistory.com" data-og-s..

SOP & CORS 에 대하여 알아보겠습니다!      1. Origin 이란?2. SOP3. CORS  SOP 와 CORS 정책에 알아보기 전에 Origin 이라는 개념에 대하여 알아볼 필요가 있습니다. Origin 은 '출처' 를 의미하며 , 구성은 프로토콜(스키마) , 호스트명 , 포트 로 이루어져 있습니다.  https://www.vulnum.com:1458     ↓                   ↓                    ↓     프로토콜-------호스트명----------포트- 이런식의 구성이 바로 Origin 이며 기본적으로 포트는 경로 앞에 :443이 붙어있습니다.(포트는 작성을 안할시 자동적으로 443포트가 할당된다. 지금은 1458이 할당되어 있습니다.)※ http 는..

목표 : admin 계정으로 로그인 하라! 우선 'james' 라는 이름으로 회원가입을 진행해 준 후 마이페이지에서 비밀번호 변경 요청을 살펴보겠습니다.  (비밀번호 변경)  비밀번호를 변경해주고 요청을 Burp 로 살펴보았습니다.POST 방식으로 전달하면서 , 인증방식으로 csrf_token 을 도입한 것을 확인하실수 있습니다. 즉! 요청을 변조하려면 csrf_token 이 필요하다는 뜻입니다.   CSRF_TOKEN 이 발급되는 양상을 살펴보기위해 마이페이지를 여러번 출입을 해줍니다.   방문할때마다 계속 토큰이 새로 발행되는것을 볼 수 있습니다.즉 이 토큰이 발행되는 조건은 '마이페이지 방문' 이라는 것을 알수있습니다. 그러면 CSRF 공격 시나리오를 생각해볼수 있습니다.(XSS 취약점을 찾았다고 ..