오늘은 인증&인가 취약점에 대하여 알아보겠습니다.  1. 인증 vs 인가 (What's the diffrence?) 단어가 둘이 한끗차이라서 누군가 순간적으로 무슨차이냐고 물어본다면 잠시 생각해야만 할 것 같습니다.하지만 이 둘은 엄연히 다른 단어이고 큰 차이가 있습니다. 인증 (Athentication) 인가 (Ahtoriztion) 취약점 그 사람이 본인이 맞는지 확인하는 작업.특정 권한을 부여하는것. >예시>> 인증 인증의 예로는 저희가 사용하는 로그인 페이지를 예로 들수 있습니다.로그인 을 하기위해서 아이디와 비밀번호를 입력합니다.이 아이디의 사용자가 맞는지 비밀번호를 통해 확인하는 작업이 바로 인증입니다.그래서 로그인 인증 이라고 하는거죠. >> 인가 인가의 예로는 게시글 수정을 예로 들어볼 ..

저번 시간에는 Pagination 기능을 구현하였습니다. https://jamesbexter.tistory.com/entry/웹-개발-PHP-Pagination-기능-추가-보완할-점 [웹 개발-PHP] Pagination 기능 추가(+ 보완할 점)저번시간엔 마이페이지에서 개인정보 수정 및 비밀번호 변경 기능을 구현했었습니다. https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-%EB%A7%88%EC%9D%B4%ED%8E%98%EC%9D%B4%EC%A7%80%EB%B9%84%EB%B0%80%EB%B2%88%jamesbexter.tistory.com  "이번시간에는 파일 업로드 기능을 구현해보겠습니다!"마침 최근에 파일 업로드 취약점을 공부..

저번시간엔 마이페이지에서 개인정보 수정 및 비밀번호 변경 기능을 구현했었습니다. https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-%EB%A7%88%EC%9D%B4%ED%8E%98%EC%9D%B4%EC%A7%80%EB%B9%84%EB%B0%80%EB%B2%88%ED%98%B8-%EB%B3%80%EA%B2%BD-%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4-%EC%88%98%EC%A0%95 [웹 개발] 마이페이지(비밀번호 변경 & 개인정보 수정)저번시간에는 게시글 검색기능을 구현하였습니다. https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-%EA%B..

저번시간에는 게시글 검색기능을 구현하였습니다. https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-%EA%B2%80%EC%83%89-%EB%B0%8F-%EC%A0%95%EB%A0%AC-%EA%B8%B0%EB%8A%A5-%EA%B5%AC%ED%98%84 [웹 개발] 검색 및 정렬 기능 구현저번시간에는 CRUD 페이지 구현을 진행하였습니다.https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-CRUD%EC%83%9D%EC%84%B1%EC%9D%BD%EA%B8%B0%EC%88%98%EC%A0%95%EC%82%AD%EC%A0%9C-%ED%8E%98%EC%9D%B4%EC%A7%80..

저번시간에는 CRUD 페이지 구현을 진행하였습니다.https://jamesbexter.tistory.com/entry/%EC%9B%B9-%EA%B0%9C%EB%B0%9C-CRUD%EC%83%9D%EC%84%B1%EC%9D%BD%EA%B8%B0%EC%88%98%EC%A0%95%EC%82%AD%EC%A0%9C-%ED%8E%98%EC%9D%B4%EC%A7%80-%EB%A7%8C%EB%93%A4%EA%B8%B0 [웹 개발] CRUD(생성,읽기,수정,삭제) 페이지 만들기저번시간엔 로그인&로그아웃 인증을 구현하였습니다. https://jamesbexter.tistory.com/entry/2%EC%A3%BC%EC%B0%A8-%EA%B3%BC%EC%A0%9C-%ED%9A%8C%EC%9B%90%EA%B0%80%EC%9E..

SOP & CORS 에 대하여 알아보겠습니다!      1. Origin 이란?2. SOP3. CORS  SOP 와 CORS 정책에 알아보기 전에 Origin 이라는 개념에 대하여 알아볼 필요가 있습니다. Origin 은 '출처' 를 의미하며 , 구성은 프로토콜(스키마) , 호스트명 , 포트 로 이루어져 있습니다.  https://www.vulnum.com:1458     ↓                   ↓                    ↓     프로토콜-------호스트명----------포트- 이런식의 구성이 바로 Origin 이며 기본적으로 포트는 경로 앞에 :443이 붙어있습니다.(포트는 작성을 안할시 자동적으로 443포트가 할당된다. 지금은 1458이 할당되어 있습니다.)※ http 는..

목표 : 관리자의 마이페이지에 있는 중요정보를 탈취하라!  주어진 정보 : 관리자의 마이페이지.HTML (마이페이지는 이렇게 생겼다.)   일단 메인페이지로 들어와주었습니다.차근차근 마이페이지부터 살펴보도록 하겠습니다. james 라고 입력> 흠.. URL 변수와 페이지에 출력되는 값은 무관해보이는것 같다.미련없이 게시글 작성 페이지로 이동해주겠습니다. 제목 / 내용 :    /   응답 내용 부분에 특수문자 사용이 가능해 보인다.그러면 스크립트 코드가 삽입 가능한지 체크해보겠습니다. Burp Suite 로 POC 코드 삽입POC 코드 동작  내용부분에  삽입하자 동작을 하는것을 확인하였습니다.즉 이부분은 Stored XSS 로 이용할 수 있다는 뜻입니다. 그러면 이걸로 어떻게 관리자 마이페이지에 있는 ..