๐’ƒ๐’†๐’‚๐’–๐’•๐’š ๐’Š๐’๐’•๐’†๐’๐’๐’Š๐’ˆ๐’†๐’๐’•
728x90
๋ฐ˜์‘ํ˜•
article thumbnail
์–ด์ฉŒ๋‹ค๋ณด๋‹ˆ Stored XSS์— ๋Œ€ํ•˜์—ฌ...
Security Study/Web 2023. 2. 14. 22:06

ํ•ด๋‹น ๋ธ”๋กœ๊ทธ๋Š” ํ•ดํ‚น ๋ฐ ๋ณด์•ˆ ๋ธ”๋กœ๊ทธ๋กœ ๊ณต๋ถ€ ๋ฐ ์—ฐ๊ตฌ์šฉ์œผ๋กœ ์ž‘์„ฑ๋˜์–ด์ง€๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ์•„๋ž˜์˜ ๋‚ด์šฉ์„ ๊ธฐ๋ฐ˜์œผ๋กœ ํ•ดํ‚น ์‹œ๋„ ๋ฐ ์‹ค์ œ ๊ณต๊ฒฉ์„ ์‹œ๋„ํ•˜์—ฌ ์ผ์–ด๋‚˜๋Š” ๋ชจ๋“  ์ฑ…์ž„์€ ๋ณธ์ธ(๋”ฐ๋ผํ•œ์ž)์—๊ฒŒ ์žˆ์Œ์„ ์•Œ๋ ค๋“œ๋ฆฌ๋ฉฐ, ๊ธ€์“ด์ด๋Š” ์•„๋ฌด๋Ÿฐ ์ฑ…์ž„์„ ์ง€์ง€ ์•Š์Šต๋‹ˆ๋‹ค. ๊ผญ ๊ณต๋ถ€ ๋ฐ ์—ฐ๊ตฌ์šฉ์œผ๋กœ๋งŒ ์‚ฌ์šฉํ•˜์—ฌ ์ฃผ์‹œ๊ธธ ๋ฐ”๋ž๋‹ˆ๋‹ค. ๊ฐ์‚ฌํ•ฉ๋‹ˆ๋‹ค. ์ œ๋ชฉ๊ทธ๋Œ€๋กœ ์–ด์ฉŒ๋‹ค๋ณด๋‹ˆ ์ •๋ง ๊ทธ๋ƒฅ Stored XSS์— ์ž‘์„ฑํ•ด๋ณด๋ คํ•œ๋‹ค. ์˜์–ด ๊ทธ๋Œ€๋กœ ์ €์žฅ XSS์ด๋‹ค. ์ฆ‰, ๊ฒŒ์‹œํŒ๊ฐ™์€ ๊ณณ์— ๊ณต๊ฒฉ์ž๊ฐ€ ๊ธ€์„ ๋ฏธ๋ฆฌ ์ž‘์„ฑํ•˜์—ฌ๋‘๊ณ  ํ”ผํ•ด์ž๊ฐ€ ๊ฒŒ์‹œํŒ์„ ํด๋ฆญํ•˜๋ฉด ๋™์ž‘ํ•˜์—ฌ ์•…์„ฑํ–‰์œ„๋ฅผ ํ•˜๋Š” ๊ฒƒ์ด๋‹ค. ์˜ˆ๋ฅผ ๋“ค์–ด ์ด๋Ÿฐ๊ฒƒ์ด๋‹ค. ๊ฒŒ์‹œํŒ์— "์ด๊ฒƒ ์ข€๋ณด์„ธ์š”. ์•„์ดํฐ 14Pro ํ• ์ธ ์—„์ฒญํ•ด์š”!" ์ด๋Ÿฐ์‹์˜ ์ œ๋ชฉ์„ ๋งŒ๋“ค์–ด๋‘๊ณ  ํด๋ฆญํ•˜๊ธฐ๋ฅผ ๊ธฐ๋‹ค๋ฆฌ๋Š” ๊ฒƒ์ด๋‹ค. ๋ฌผ๋ก  ๊ฒŒ์‹œํŒ์— ๊ธ€์„ ์ž‘์„ฑํ•ด๋‘๊ณ  ๋ง์ด๋‹ค. ์—ฌ๊ธฐ์„œ๋Š” ๊ฐ„๋‹จ..

article thumbnail
docker๋ฅผ ํ†ตํ•ด web์ทจ์•ฝ์  ๊ณต๋ถ€ํ•˜๊ธฐ
Security Study/Docker 2023. 1. 29. 21:57

ํ•ด๋‹น ๋ธ”๋กœ๊ทธ๋Š” ํ•ดํ‚น ๋ฐ ๋ณด์•ˆ ๋ธ”๋กœ๊ทธ๋กœ ๊ณต๋ถ€ ๋ฐ ์—ฐ๊ตฌ์šฉ์œผ๋กœ ์ž‘์„ฑ๋˜์–ด์ง€๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ์•„๋ž˜์˜ ๋‚ด์šฉ์„ ๊ธฐ๋ฐ˜์œผ๋กœ ํ•ดํ‚น ์‹œ๋„ ๋ฐ ์‹ค์ œ ๊ณต๊ฒฉ์„ ์‹œ๋„ํ•˜์—ฌ ์ผ์–ด๋‚˜๋Š” ๋ชจ๋“  ์ฑ…์ž„์€ ๋ณธ์ธ(๋”ฐ๋ผํ•œ์ž)์—๊ฒŒ ์žˆ์Œ์„ ์•Œ๋ ค๋“œ๋ฆฌ๋ฉฐ, ๊ธ€์“ด์ด๋Š” ์•„๋ฌด๋Ÿฐ ์ฑ…์ž„์„ ์ง€์ง€ ์•Š์Šต๋‹ˆ๋‹ค. ๊ผญ ๊ณต๋ถ€ ๋ฐ ์—ฐ๊ตฌ์šฉ์œผ๋กœ๋งŒ ์‚ฌ์šฉํ•˜์—ฌ ์ฃผ์‹œ๊ธธ ๋ฐ”๋ž๋‹ˆ๋‹ค. ๊ฐ์‚ฌํ•ฉ๋‹ˆ๋‹ค. docker๋ฅผ ํ†ตํ•ด web์ทจ์•ฝ์  ๊ณต๋ถ€ํ•˜๊ธฐ๊ฐ€ ๋ฌด์Šจ๋ง์ธ๊ฐ€? ์Œ.... ์‚ฌ์‹ค docker๋ฅผ ํ†ตํ•ด web ์ทจ์•ฝ์  ๊ณต๋ถ€ํ•˜๊ธฐ ๋ณด๋‹จ docker๋ฅผ ์ด์šฉํ•ด dvwa(DAMN VULNERABLE WEB APPLICATION) ๋ฅผ ์„ค์น˜ํ•˜๊ณ  ๋ชจ์˜ํ•ดํ‚น ์—ฐ์Šต์„ ํ•ด๋ณด๋Š” ๊ฒƒ์ด๋‹ค. dvwa๋Š” ํ•ด๋‹น github์—์„œ ๋ฐ›์•„ ๊ฐ€์ƒ์œผ๋กœ ์„œ๋ฒ„๋ฅผ ๋งŒ๋“ค์–ด ์„ค์น˜ํ•  ์ˆ˜ ์žˆ๋‹ค. https://github.com/digininja/DVWA GitHub -..

์›น ํ•ดํ‚น ๊ธฐ๋ณธ
Security Study/Web 2015. 11. 24. 01:13

์›น ํ•ดํ‚น์„ ํ•˜๋Š” ๋ฐฉ๋ฒ•์—๋Š” ํฌ๊ฒŒ 2๊ฐ€์ง€๋กœ ๋‚˜๋ˆ„์–ด ์ง„๋‹ค.1. ์ง๊ด€์ ์œผ๋กœ ์ทจ์•ฝ์ ์ด ์žˆ์„ ๋งŒํ•œ ๋ถ€๋ถ„์„ ์ฐพ์•„์„œ ์นจํˆฌํ•˜๋Š” ๊ฒƒ์ด๊ณ ,2. ์ „๋ฐ˜์ ์œผ๋กœ ๋ฐœ๊ฒฌ ๊ฐ€๋Šฅํ•œ ๋ชจ๋“  ๊ณต๊ฒฉ ํ‘œ๋ฉด์„ ์ฐพ์•„์„œ ๋งคํŠธ๋ฆญ์Šค๋ฅผ ์ž‘์„ฑํ•œ ํ›„ ํ•˜๋‚˜์”ฉ ๊ณต๊ฒฉํ•ด๋ณด๋Š” ๊ธฐ๋ฒ•์ด๋‹ค. ๊ธฐ๋ณธ์ ์œผ๋กœ ํ•ดํ‚น์˜ ๊ณผ์ •์„ ์ •๋ฆฌํ•˜๋ฉด ๊ณต๊ฒฉ ๋Œ€์ƒ ์„ ์ • -> ์ •๋ณด ์ˆ˜์ง‘ -> ์ทจ์•ฝ์  ๋ถ„์„ -> ๊ณต๊ฒฉ -> ํ”์ ์ œ๊ฑฐ์ด๋Ÿฌํ•œ ์‹์œผ๋กœ ์ด๋ฃจ์–ด ์ง„๋‹ค. OWASP TOP10 1 - ์ธ์ ์…˜ ์ทจ์•ฝ์  2 - ํฌ๋กœ์Šค ์‚ฌ์ดํŠธ ์Šคํฌ๋ฆฝํŒ… 3 - ์ทจ์•ฝํ•œ ์ธ์ฆ ๋ฐ ์„ธ์…˜ ๊ด€๋ฆฌ 4 - ์•ˆ์ „ํ•˜์ง€ ์•Š์€ ์ง์ ‘ ๊ฐ์ฒด ์ฐธ์กฐ 5 - ํฌ๋กœ์Šค ์‚ฌ์ดํŠธ ์š”์ฒญ ๋ณ€์กฐ 6 - ๋ณด์•ˆ์ƒ ์ž˜๋ชป๋œ ๊ตฌ์ƒ 7 - ์•ˆ์ „ํ•˜์ง€ ์•Š์€ ์•”ํ˜ธ ์ €์žฅ 8 - URL์ ‘๊ทผ ์ œํ•œ ์‹คํŒจ 9 - ๋ถˆ์ถฉ๋ถ„ํ•œ ์ „์†ก ๊ณ„์ธต ๋ณดํ˜ธ 10 - ๊ฒ€์ฆ๋˜์ง€ ์•Š์€ ๋ฆฌ๋‹ค์ด๋ ‰ํŠธ์™€ ํฌ์›Œ๋“œ

article thumbnail
Challenge 38 - Log Injection

webhacking.kr 38๋ฒˆ ๋ฌธ์ œ๋ฅผ ๋จผ์ €๋ณด๊ฒŒ ๋˜๋ฉด ์‚ฌ์ดํŠธ๋ฅผ ์ ‘์†ํ•˜๊ฒŒ ๋˜๋ฉด ์ด๋Ÿฌํ•œ ํ™”๋ฉด์ด ๋‚˜์˜จ๋‹ค.์ด๋กœ LOG Injection์ด๋ผ๋Š” ๋ฌธ์ œ๋ผ๋Š” ๊ฒƒ์„ ์‰ฝ๊ฒŒ ํ™•์ธ ํ• ์ˆ˜ ์žˆ๋‹ค.๋จผ์ € aaaaaaaaa์„ ์ž…๋ ฅํ•˜์—ฌ ์–ด๋– ํ•œ ๋ณ€ํ™”๊ฐ€ ์žˆ๋Š”์ง€ ํ™•์ธ ํ•˜์—ฌ๋ณด์ž ์ž…๋ ฅ์„ ํ•˜๋‹ˆ ์•„๋ฌด๋Ÿฐ ๋ณ€ํ™”๊ฐ€ ์—†๋Š” ๊ฒƒ์„ ํ™•์ธ ํ•  ์ˆ˜์žˆ๋‹ค. ๊ทธ๋Ÿผ admin์„ ์ž…๋ ฅํ•˜์—ฌ ๋ณด๋ฉด ์ด๋Ÿฌํ•œ ์ฐฝ์ด ๋‚˜์˜ค๋Š” ๊ฒƒ์„ ์•Œ ์ˆ˜ ์žˆ๋‹ค. ์ด๋Š” admin์ด ์•„๋‹ˆ๋ผ๋Š” ์†Œ๋ฆฌ๋‹ˆ๊น login ์˜†์— ์žˆ๋Š” admin์„ ํด๋ฆญ ํ•ด๋ณด์ž ๊ทธ๋Ÿผ ์ž์‹ ์˜ ip :aaaaaaaaaa๋ผ๊ณ  ์ž…๋ ฅํ•œ ๊ธ€์„ ๋ณผ์ˆ˜ ์žˆ๋‹ค. ๊ทธ๋Ÿผ ๋‹ค์‹œ ์ฒ˜์Œ์œผ๋กœ ๋Œ์•„์™€ ์ž์‹ ์˜ ip:admin์„ ์ž…๋ ฅํ•˜๋ฉด webhacking.kr ์„ ์‰ฝ๊ฒŒ clear!!!

728x90
๋ฐ˜์‘ํ˜•
profile on loading

Loading...