본문 바로가기
[웹취약점] 파일 업로드의 취약점과 해결방안 읽기전에!! 주의사항!!현재 실습환경은 직접 제작한 홈페이지 환경에서 취약점을 찾는 방식입니다. 외부 사이트가 아닌 제가 서버를 열어서 하는 실습입니다. 다른 외부 사이트에서 실습하시면 법척 처벌을 받으실 수 있으니 절대 따라하지 마세요만약 처벌을 받게 되셔도 저는 미리 경고를 했기 때문에 저와는 무관함을 알려드립니다.또한 이글을 읽고 실습을 따라하시는 것은 주의사항을 읽으셨다고 간주하여 본 블로거와는 관련이 없음을 말씀드립니다.다시한번 말씀드리지만 일반 홈페이지에 절대 하지 마세요 범죄입니다. 파일업로드의 취약점?오늘 해보는 시나리오는 이렇습니다.웹쉘을 이용해서 서버의 디렉토리를 보겠습니다. 먼저 웹쉘을 홈페이지에 업로드 하면 서버의 저장공간에 저장이 됩니다.그렇게 되면 서버에는 본의아니게 웹쉘이 저장.. 더보기
[XSS, CSRF] 기초와 웹페이지 공격 실습 읽기전에!! 주의사항!!현재 실습환경은 직접 제작한 홈페이지 환경에서 취약점을 찾는 방식입니다. 외부 사이트가 아닌 제가 서버를 열어서 하는 실습입니다. 다른 외부 사이트에서 실습하시면 법척 처벌을 받으실 수 있으니 절대 따라하지 마세요만약 처벌을 받게 되셔도 저는 미리 경고를 했기 때문에 저와는 무관함을 알려드립니다.또한 이글을 읽고 실습을 따라하시는 것은 주의사항을 읽으셨다고 간주하여 본 블로거와는 관련이 없음을 말씀드립니다.다시한번 말씀드리지만 일반 홈페이지에 절대 하지 마세요 범죄입니다.XSS란?Cross-site Scripting으로 공격하려는 사이트에 스크립트를 넣어 공격하는 기법입니다. 가정 기초적인 공격방법의 일종입니다. XSS는 어떻게 쓰이는가?사이트에 접속한 사용자는 자동으로 실행하게 .. 더보기
[HTTP MITM] 예제및 정리 HTTP MITM 이란?암호화 되지 않은 HTTP프로토콜을 공격자가 가로채어 HTML소스를 조작하는것입니다. 어떻게 이런일이 가능한가요?사진을 보시면서 쉽게 설명드리겠습니다. 정상적인 HTTP통신을 보시면 세션을 맺기 위해 클라이언트가 SYN을 보내면 => SYN으로 클라이언트에게 답해줍니다. => 그럼 클라이언트도 잘받았다고 Ack를 보내주며 세션이 연결됩니다. 그리고나서 세션연결이 수립되었으니 본격적인 통신이 시작이 되는데클라이언트가 서버야 HTTP좀 보내줘 하면응 그래 알겠어~~(Ack)와 HTTP를 같이 보내줍니다.그러면 클라이언트는 응그래 잘받았어 고마워~~ 답변을 해줘서 간단한 한 통신이 되게 됩니다 하지만 MITM의 경우 공격자가 중간에서 처음부터 도청을 합니다.그러다가 서버가 HTTP를 응.. 더보기
[DNS Spoofing] 예제실습과 hosts정리 주의!! 본 게시글은 교육목적으로 교육받고 정리한 게시글입니다. 악용하셔서 받으시는 법적 처벌은 절대 책임지지 않습니다Spoofing이란?말그대로 '속이다' 라는 뜻으로 IP를 붙이면 자신의 IP를 속이는것, arp spoofing은 arp를 속이는것입니다.즉. DNS Spoofing은 자신의 DNS정보를 속여 다른 시스템을 공격할때 사용합니다. 해보기전 hosts의 원리를 먼저 아셔야 합니다. Hosts란?이런 파일이 있을겁니다 봐도 이해가 안가시겠지만 #은 주석이고 주석은 코드로 이해하지 않으니 그냥 지나치는것 정도는 아시겠죠? 이해를 돕기위해 실험을 해보겠습니다CentOs로 웹서버를 열어놓고 웹서버의 IP를 넣고 해당 도메인을 입력하고 저장해줍니다. 그리고 www.naver.com을 들어가주면 이렇.. 더보기
[TCP, TCP Header] 개념잡기 TCP란?TCP는 인터넷상의 컴퓨터들 사이에서 데이터를 메시지의 형태로 보내기 위해 IP와 함께 사용되는 프로토콜입니다. IP가 데이터를 배달처리하면 TCP는 패킷을 추적 관리하게 됩니다.(패킷: 인터넷 내에서 효율적으로 라우팅하기 위해 메시지를 여러개의 작은 조각들로 나누는데 이것을 패킷이라고 합니다) TCP는 어떻게 추적 관리를 할까? 파일을 여러개의 패킷들로 나누고, 그 패킷에 번호를 붙인다음 그것을 IP계층으로 보냅니다.각 패킷이 같은 IP로 간다고 해도 다른경로를 통해 전송될 수 있으므로 받는사람의 TCP는 각 패킷을 재조립하여 사용자에게 완전한 파일로 보낼 수 있을때까지 기다립니다.----사전적 의미를 풀어썼습니다----- 예를들어 설명해 드리겠습니다. 서울에서 부산까지 짐을 붙이려고 합니다서.. 더보기

티스토리툴바