해킹 (15) 썸네일형 리스트형 XSS공격 피해자 쿠키값 탈취 https://duni0107-day.tistory.com/58?category=703364 XSS공격으로 쿠키값 탈취 XSS란? -> 게시판에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동되게 하는 공격 쿠키란? -> 방문자의 정보를 방문자 컴퓨터의 메모리에 저장하는 것 말함 ex) ID, 비밀번호, 방문 사이트 등 저장.. duni0107-day.tistory.com 위의 게시글에서는 나의 쿠키값을 XSS로 탈취하는 실습을 해보았다. 하지만!!!!!!! 내가 원하는 것은 나의 쿠키값이 아닌 글을 읽은 누군가의 쿠키값을 탈취하는 것이다. 어떻게 해야될까? 먼저 나의 로컬 웹에 cookie.php를 작성한다. 데이터를 받아와서 data.txt로 저장하고 설정한 이미지를 출력한다는 내용의 코딩.. SCP 외부세미나 발표 동아리 외부세미나에서 File Upload 해킹이라는 주제로 발표하였다. * 발표 내용이 궁금하다면? ↓ https://duni0107-day.tistory.com/18?category=703364 File Upload 공격 직접 만든 웹 페이지에 파일 업로드 해킹 실습을 해보자 시작하기 전 한마디 : 파일 업로드를 통한 웹 쉘 띄우기 해킹으로 웹 해킹 입문자분들을 위해 쉬운 내용 위주로 준비했습니다. 웹 쉘을 통한 해킹은 뉴스에.. duni0107-day.tistory.com XSS 공격 XSS 공격이란 무엇인가? (Cross Site Scripting)게시판이나 웹 메일 등에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동되게 하는 치명적 공격종류 : Reflected XSS, Stored XSS Reflected XSS 스크립트를 입력하면 바로 반사되어 바로 실행이 되는 방법ex) URL 주소 입력창에 직접 주소 입력해서 공격 Stored XSS스크립트를 저장해 두었다가 공격하는 방법ex) 게시판 등에 글을 올리는 기법 기본적인 공격 구문 이론으로 공부한 XSS공격 실습이 궁금하다면?↓https://duni0107-day.tistory.com/58?category=703364 XSS공격으로 쿠키값 탈취XSS란? -> 게시판에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기.. 19회 해킹캠프 참가 후기 보호되어 있는 글입니다. 18회 해킹캠프 참가 후기 보호되어 있는 글입니다. File Upload 공격 직접 만든 웹 페이지에 파일 업로드 해킹 실습을 해보자 시작하기 전 한마디 : 파일 업로드를 통한 웹 쉘 띄우기 해킹으로 웹 해킹 입문자분들을 위해 쉬운 내용 위주로 준비했습니다. 웹 쉘을 통한 해킹은 뉴스에서도 쉽게 찾아볼 수 있는 해킹 기법으로 파급력이 어마무시하죠? 그렇다면 웹 쉘이란 무엇일까요? Shell - 사용자의 명령을 OS에 전달해주는 프로그램 WEB Shell - 웹 브라우저를 사용해서 OS에 명령을 전달해주는 프로그램 (쉽게 말해 클라이언트의 명령을 서버에서 실행시켜주는 프로그램) 즉, 공격자가 악의적인 목적을 갖고 만든 프로그램으로 일단 서버에 업로드가 되면 공격자는 자신이 실행시키고자 하는 명령어를 전송해 서버에서 실행이 되게 만드는 것입니다. 더보기 클라이언트가 웹 사이트에 접속하.. SQL Injection SQL Injection이란? SQL Injection이란 웹 해킹의 기법 중 하나임 (web application 단계에서 일어남)웹 어플리케이션의 뒷단에 있는 데이터베이스에 쿼리를 보내는 과정 사이에 일반적인 값 외에 악의적인 의도를 갖는 구문을 삽입하여 공격자가 원하는 SQL 쿼리문을 실행하는 기법임SQL Injection 공격의 종류? 1. 인증 우회 2. 데이터 노출 3. 원격명령 실행인증 우회와 데이터 노출을 실습해볼것임 로그인 인증 우회란? → 웹 사이트에 회원가입 된 ID / PW 를 사용하는 것이 아닌 SQL query 를 입력하여 로그인을 우회함 정상적인 로그인 인증 과정 SQL query를 통한 비정상적 인증 과정 SQL Injection 우회 기법 1.select * from w.. 이전 1 2 다음
