Brute Force 공격이란 ? -> 무차별 대입이라는 특징 그대로, 조합 가능한 모든 문자열을 순차적으로 하나씩 모두 대입해보는 공격 방법 이론상으로는 충분한 시간만 주어진다면 언젠가는 찾을 수 있음 사전(Dictionary) 대입이란? -> 방대한 시간이 소요되는 Brute Force 공격의 시간을 줄이기 위해 미리 정의된 문자열 목록을 대입 사전 파일을 이용한 공격이라고 해서 사전 공격이라고 함 방어 방법 ? 길고 복잡한 비밀번호 사용 유추하기 어려운 비밀번호 사용 로그인 시도 횟수 제한 (개발자 관점) 다중 인증 (Id,Pw 이외의 추가 인증 수단 제공) 강력한 로깅과 모니터링 ※ 실제로 2018년에 우리은행이 Brute Force 공격을 받아 고객정보 약 5만 6,000건이 유출된 사건이 존재함
웹 공부를 하다 보면 자주 접하게 될 용어인 프론트엔드와 백엔드 정확히 어떤 것인지 정리를 해보았다. Front end : HTML, CSS, JavaScript 등 ... -> 사용자의 눈에 직접적으로 보이는 영역에 해당함 웹 페이지에 접속했을 때, 보여지는 모든 것 (웹 디자인, 레이아웃, 텍스트, 컬러 등) 각각의 역할을 살펴보면 HTML - 웹 페이지의 전체적인 틀을 구성 CSS - 폰트, 컬러 등의 디자인적인 부분들을 담당 JavaScript - 정적인 페이지를 동적으로 만들어줌 Back end : JAVA, JSP, 스프링 프레임워크, Python , PHP 등 ... -> 눈에 보이지 않는 서버, 프로그램 기능 등의 영역에 해당함 웹 페이지의 콘텐츠를 공급하며, 내부적으로는 DB들을 저장하거..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
디렉토리 노출 취약점이란? → WAS의 환경 설정 미흡으로 웹 디렉토리 호출 시 해당 WAS의 디렉토리 목록이 외부에 노출되는 취약점 해킹된다면? → 브라우징하는 모든 파일을 보여줌 → 백업파일 및 소스코드, 스크립트 파일의 유출로 인해 계정 정보가 유출 가능 ※ 최근에는 웹 서버 공격을 방지하기 위해 대부분 해당 기능을 사용하지 않음 ※ 공격 방법? → 이미지 파일 등 경로를 알 수 있을 때, URL 부분에 파일명을 지우고 입력하면 파일 리스트를 볼 수 있음 → 무작위로 많이 사용되는 디렉토리명 대입 ex) http://nxxxxxx.com/admin 등 대응 방법? → 서버의 설정을 변경해서 기본 페이지가 없을 경우 디렉토리 목록이 노출되지 않도록 함 실습 내용이 궁금하다면? https://duni0..
파일 다운로드 (File Download) 취약점 공격
파일 다운로드 취약점에 대해 알고싶다면? https://duni0107-day.tistory.com/77?category=692193 파일 다운로드 취약점 파일 다운로드 취약점이란? → 허용된 파일 외의 허용되지 않은 파일이 다운로드 됨 파일 다운로드 취약점 발생 원인? → 웹 애플리케이션에서 파일명을 필터링하지 못했을 경우 발생함 파일 다운로드 취.. duni0107-day.tistory.com 파일 다운로드 취약점 공격 실습은 간단하게 현재 디렉토리에서 허용된 파일 외의 허용되지 않은 파일을 다운로드하는 것으로 해볼 것이다. 실습환경 : 윈도우 실습페이지 : 내가 만든 내 웹 페이지(로컬) 실습을 위해 msg.txt 다운이라는 태그를 만들어놓았다. 이것을 클릭하면 msg.txt 파일이 정상적으로 다운..
파일 다운로드 취약점이란? → 허용된 파일 외의 허용되지 않은 파일이 다운로드 됨 파일 다운로드 취약점 발생 원인? → 웹 애플리케이션에서 파일명을 필터링하지 못했을 경우 발생함 파일 다운로드 취약점 공격 예시 평문화 - http://server/download.php?file=../../../../../../../etc/passwd URL인코딩 - http://server/download.php?file=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd BASE64인코딩 - http://server/download.php?file=Li4vLi4vLi4vLi4vLi4vLi4vZXRjL3Bhc3N3ZA== ※윈도우는 대소문자를 구분하지 않지만, 리눅스는 대소문자..
File Upload 공격, 웹쉘
웹 쉘을 통한 해킹은 뉴스에서도 쉽게 찾아볼 수 있는 해킹 기법으로 파급력이 어마무시하죠? 그렇다면 웹 쉘이란 무엇일까요? Shell - 사용자의 명령을 OS에 전달해주는 프로그램 WEB Shell - 웹 브라우저를 사용해서 OS에 명령을 전달해주는 프로그램 (쉽게 말해 클라이언트의 명령을 서버에서 실행시켜주는 프로그램) 즉, 공격자가 악의적인 목적을 갖고 만든 프로그램으로 일단 서버에 업로드가 되면 공격자는 자신이 실행시키고자 하는 명령어를 전송해 서버에서 실행이 되게 만드는 것입니다. ...더보기 클라이언트가 웹 사이트에 접속하면 웹 서비스가 실행되고 웹 어플리케이션이 실행되고 DB에 접근이 됩니다. 아파치가 웹 서버를 구축하고 실행시키는거고 php가 언어인데 이 언어로 웹 사이트를 만들고 php와 ..
- Total
- Today
- Yesterday