WEB4

• 

  취약점 점검하다가 신기방기한 것을 보았다.!!!! 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 업무를 하면서 이것저것 많이하다보니 이번에 조금 신기하고 재밌는 것을 알았다. 다른 사람들은 알수도있는데 개인적으로는 나름 흥미로워서 블로그로 작성해본다. 뭐 대단한건 아니지만 html사용할때 python을 사용할 수있도록 하는 pyscript이다. https://pyscript.net/ Pyscript.net Run Python code in your HTML. pyscript.net 기본적으로 php,.. Security Study/Web 2023. 10. 9.

• 

  어쩌다보니 Stored XSS에 대하여... 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 제목그대로 어쩌다보니 정말 그냥 Stored XSS에 작성해보려한다. 영어 그대로 저장 XSS이다. 즉, 게시판같은 곳에 공격자가 글을 미리 작성하여두고 피해자가 게시판을 클릭하면 동작하여 악성행위를 하는 것이다. 예를 들어 이런것이다. 게시판에 "이것 좀보세요. 아이폰 14Pro 할인 엄청해요!" 이런식의 제목을 만들어두고 클릭하기를 기다리는 것이다. 물론 게시판에 글을 작성해두고 말이다. 여기서는 간단.. Security Study/Web 2023. 2. 14.

• 

  web server 취약점 스캐너 nikto :) 웹 서버 취약점 점검 툴인 nikto에 대해 알아보자 :) 공식 홈페이지는 https://cirt.net/Nikto2 이다 . 여기서 다운을 받을 수있고 설치를 할수 있다. 리눅스 같은경우 apt-get install nikto 와 yum install nikto 로 쉽게 받을 수있다. Mac OS같은 경우에는 brew install nikto 를 하면 쉽게 받을수있다 . 먼저 명령어를 보자 간단하게 터미널에서 nikto 만 치게 되면 도움말들이 나타나는 것을 알 수있다. 조금 더 자세히 알고 싶다면 nikto -Help 를 입력한다면 이렇게 많은 도움말을 볼수가 있다. nikto 의 사용법을 알아보면 nikto -h [HOST IP] 이렇게만 해도된다. 왜냐 기본적으로 포트는 80번이 디폴트 값을 지니.. Security Study/Web 2016. 12. 21.

• web 2일차 LFI1. Local File Include Attack 의 줄임말2. Include, require 등의 함수가 주 타겟3. 원하는 코드를 실행할 수 있으니 크리티컬 메인페이지 – 로그인- 글쓰기- 패스워드 파일- 업로드한 파일 과연 우리가 원하는 코드를 어떻게 넣지?1. /proc/self/environ2. /proc/loadavg/proc/$PID/environ3. 웹서버 로그4. 에러 로그----------------------------- 버전이 올라가면서 위의 공격은 힘들어짐5. 파일 업로드 -> 많이 사용됨 코드말고 wrapper1. fopen, copy, file등의 함수에 쓰임2. file://, http://, ftp:// 등등3. 대부분의 래퍼가 allow_url_include 가 o.. Security Study/Web 2015. 10. 23.