<1주차 과제> 웹 사이트 만들기 - 로그인 페이지 디자인(CSS)
·
웹개발(PHP-Mysql)
- 로그인 페이지 만들기(DB연동 x)- CSS 를 활용한 로그인 페이지 꾸미기 목표: ID: admin / Password:  admin1234 로 로그인이 되는 페이지를 만들어보자!  GamJa National University Login 부분에는 css 파일 연동 + 구글폰트 연동을 해주었다. 부분에는 div 태그를 이용하여 로그인 페이지를 나누어주었다. *특이사항 : ID 와 Password 칸에 쓸수있는 글자수를 30자로 제한하였습니다.(Response Time 을 이용한 취약점이 될수도 있다고 생각하여서 제한했습니다)Response Time 에 관하여 링크걸어둔 글 , 부분에 서술하였습니다.관련 URL : https:/..
File upload vulnerabilities
·
웹해킹
[목차] -What are file upload vulnerabilities? -How do file upload vulnerabilities arise? -Exploiting unrestricted file uploads to deploy a web shell -Exploiting flawed validation of file uploads -실습 -What are file upload vulnerabilities? 파일 업로드 취약점이란 웹서버가 유저들에게 충분한 이름,타임,콘텐츠,사이즈의 점검없이 파일 업로드를 허락할때 발생하는 취약점 입니다. 이 취약점은 기본적인 이미지를 업로드 하는것만으로 잠재적인 위험이 있는 위험한 취약점 입니다. 심지어 원격으로 웹 코드를 실행시킬수 있는 server-sid..
SSRF(Server-side request forgery)
·
웹해킹
(목차) -What is SSRF? -SSRF attacks against the server -실습 -What is SSRF? SSRF 는 '서버 측 요청 위조' 라는 뜻으로 , 공격자가 서버 측 응용 프로그램이 의도하지 않은 요청을 보내도록 하는 것을 허용하는 웹 취약점 입니다. -SSRF attacks against the server 서버에 대한 SSRF 공격에서 공격자는 응용 프로그램이 루프백 네트워크 인터페이스를 통해 응용 프로그램을 호스팅하는 서버로 HTTP요청을 보내도록 유도합니다. ※루프백 인터페이스란? : 말 그대로 내 컴퓨터에서 나간 신호가 다시 내 컴퓨터로 돌아오는 통로라고 보시면 됩니다. 내 컴퓨터를 대상으로 프로그램이 정상적으로 작동하나 시험해볼때 사용하곤 합니다. 주로 127...
Authentication vulnerabilities
·
웹해킹
우선 개념적으로, Authentication vulnerabilities 는 이해하기는 쉽습니다. 그러나 authentication 과 security 의 명확한 관계 때문에 이것은 매우 중요합니다. Authentication vulnerabilities 는 공격자가 민감한 데이터나 기능에 접근할수 있도록 합니다. 더 나아가 추가적인 공격도 가능하구요. 그러므로 인증 취약점을 식별하고 알아내며 , 흔한 보호조치를 우회하는 방법을 학습해야 합니다. 이번에 제가 얘기드릴것은: 가장 주로 웹사이트에서 쓰이는 인증 메커니즘 이러한 메커니즘의 잠재적 취약점 다른 인증 메커니즘의 내재된 취약점 그것들의 부적절한 수행으로 발생되는 전형적인 취약점 자체인증 메커니즘을 가능한 견고하게 만드는법. -What is the ..
Access control
·
웹해킹
Access control 이란? Vertical privilege escalation Horizontal privilege escalation Horizontal to Vertical privilege escalation -Access control 이란? Access control 이란 어떤 개체에게 '작업을 수행하거나 자원에대한 접근하는것'에 대한 권한이 허가되는지에 대한 제한을 적용하는 것입니다. 웹 어플리케이션 문맥에선 , Access control 은 인증(authentication)과 session management에 의존합니다. Authentication : 유저가 주장하는 사람이 맞는지 확인하는 절차 Session management : 이후 오는 HTTP 요청이 같은 유저에게서 만들어..
Path traversal
·
웹해킹
-Path traversal 이란? Path traversal 이란 디렉토리 순회로도 알려져 있습니다. 이 취약점은 공격자가 어플리케이션이 동작중인 서버의 임의의 파일을 읽을수 있게 됩니다. 이러한 것들 중에는: 어플리케이션 코드와 데이터 백 엔드 시스템의 자격 민감한 운영체제 파일 때로는 , 공격자가 임의의 파일을 수정할수도 있고 , 이후 어플리케이션의 데이터나 행동양식을 수정할수도 있게되며 , 결국 서버의 전체 컨트롤 권한을 가져가기도 합니다. -Path traversal 를 이용한 임의의 파일 읽기 쇼핑 어플에 있는 상품의 이미지를 생각해봅시다. 그 이미지가 이 HTML 구문을 따른다고 생각해보면 /loadimage URL은 filename 의 매개변수를 사용하고 지정된 파일을 반환합니다.(이것을 ..