old/Cyber Security (63) 썸네일형 리스트형 사이버 보안: XSS이란 정의 사이트 간 스크립팅 (Cross-site scripting) 웹 상에서 가장 기초적인 취약점 공격 방법중 하나 권한이 없는 사용자가 악의적인 용도로 웹 사이트에 스크립트를 삽입하는 공격 기법입니다. 대표적인 클라이언트 측 코드를 삽입하는 공격이기도 합니다. 취약점 발생 지점 리스트 Stored XSS: 게시글 작성공간, 제목, 내용, 작성자 등 Reflected XSS: 피라미터를 입력받는 get방식 요청(post방식을 get방식으로 바꿔도 아무 문제없는곳) DOM XSS: 프레그먼트를 사용해서 데이터를 받는 모든 페이지 취약점 검증 방법 Stored XSS - 게시글에 자바 스크립트 작성: 의도치 않은 희생자를 만들수 있으므로, alert나 시간 출력등으로 대체합니다. Form URL: 게시글작성.. 웹해킹: SQL injection 정의 SQL injection이란 악의적인 SQL 질의문을 삽입하여 데이터베이스 시스템을 공격하는 기법입니다. 데이터 추출, 변조, 인증 우회 등등이 가능합니다. 취약점 발생 지점 리스트 사용자 입력이 되어 인증하는 모든 곳 로그인 아이디, 비밀번호 게시글 검색 취약점 검증 방법 php로그인창의 경우: select id, pwd from table where id =’input’ 라고 한다고 추측하면, 아래와 같이 아이디를 사용하여 로그인이 되는지 확인 아이디'+and+(1=1)+and+'1%'='1 php검색창의 경우: 3+4를 했을때, 7이 검색이 된다면 필터링이 없다는것을 추측 가능. 3+4 php검색창의 경우: 검색은 보통 ‘%%’이므로, 바로 검색을 하는지 아래 코드로 검색이 되는지 확인 검색어.. 아스키 코드 표 https://selfinvestfriends.tistory.com/184 10진수 아스키 코드 표 Search Dec Char 0 Ctrl-@ NUL 1 Ctrl-A SOH 2 Ctrl-B STX 3 Ctrl-C ETX 4 Ctrl-D EOT 5 Ctrl-E ENQ 6 Ctrl-F ACK 7 Ctrl-G BEL 8 Ctrl-H BS 9 Ctrl-I HT 10 Ctrl-J LF 11 Ctrl-K VT 12 Ctrl-L FF 13 Ctrl-M CR 14 Ctrl-N SO 15 Ctrl-O SI 16 Ctrl-P DLE 17 Ctrl-Q DCI 18 Ctr selfinvestfriends.tistory.com https://selfinvestfriends.tistory.com/185 8진수 아스키 코드표 s.. 16진수 아스키 코드 표 https://selfinvestfriends.tistory.com/184 10진수 아스키 코드 표 Search Dec Char 0 Ctrl-@ NUL 1 Ctrl-A SOH 2 Ctrl-B STX 3 Ctrl-C ETX 4 Ctrl-D EOT 5 Ctrl-E ENQ 6 Ctrl-F ACK 7 Ctrl-G BEL 8 Ctrl-H BS 9 Ctrl-I HT 10 Ctrl-J LF 11 Ctrl-K VT 12 Ctrl-L FF 13 Ctrl-M CR 14 Ctrl-N SO 15 Ctrl-O SI 16 Ctrl-P DLE 17 Ctrl-Q DCI 18 Ctr selfinvestfriends.tistory.com https://selfinvestfriends.tistory.com/185 8진수 아스키 코드표 s.. 8진수 아스키 코드표 https://selfinvestfriends.tistory.com/184 10진수 아스키 코드 표 Search Dec Char 0 Ctrl-@ NUL 1 Ctrl-A SOH 2 Ctrl-B STX 3 Ctrl-C ETX 4 Ctrl-D EOT 5 Ctrl-E ENQ 6 Ctrl-F ACK 7 Ctrl-G BEL 8 Ctrl-H BS 9 Ctrl-I HT 10 Ctrl-J LF 11 Ctrl-K VT 12 Ctrl-L FF 13 Ctrl-M CR 14 Ctrl-N SO 15 Ctrl-O SI 16 Ctrl-P DLE 17 Ctrl-Q DCI 18 Ctr selfinvestfriends.tistory.com https://selfinvestfriends.tistory.com/186 16진수 아스키 코드 표.. 10진수 아스키 코드 표 https://selfinvestfriends.tistory.com/185 8진수 아스키 코드표 search 0 Ctrl-@ NUL 1 Ctrl-A SOH 2 Ctrl-B STX 3 Ctrl-C ETX 4 Ctrl-D EOT 5 Ctrl-E ENQ 6 Ctrl-F ACK 7 Ctrl-G BEL 10 Ctrl-H BS 11 Ctrl-I HT 12 Ctrl-J LF 13 Ctrl-K VT 14 Ctrl-L FF 15 Ctrl-M CR 16 Ctrl-N SO 17 Ctrl-O SI 20 Ctrl-P DLE 21 Ctrl-Q DCI 22 Ctrl-R DC2 selfinvestfriends.tistory.com https://selfinvestfriends.tistory.com/186 16진수 아스키 코드 표 s.. Assignment: 로그인 로직&우회 연구 1. 쿼리 인풋 길이 제한 우회법 여전히 짧은 명령어는 통함 ex) ' OR '1' = '1 2. 주석 제한 (# /* */) 정규식 제거 $str = preg_replace('/#|\\/\\*|\\*\\//', '', $str); 우회법 //** **//으로 할 결우, 가운데 주석만 제거됨. 3. 특수 문자 제한(* ” ‘ - ( ) /* */ = ; or and) 정규식으로 제거 $str = preg_replace('/\\*|\\"\\s|\\\\\\'|-\\s|\\)\\s|\\s|\\/\\*.*?\\*\\/|=|;\\s|\\sor\\s|and\\s/', '', $str); 우회법 //** **//으로 할 결우, 가운데 주석만 제거됨. 4. [빈칸]SQL명령어[빈칸] 제한, select, sho.. APM(Apache2, Php, Mysql) 기반 로그인 인증 웹사이트 만들기 목적 PHP에서 기본적으로 제공하는 세션을 이용하여 로그인하는 방식으로 APM(Apache2, Php, Mysql)로 로그인인증을 하는 웹싸이트를 제작합니다. 로그인 기능 구현 메인 페이지 구현 로그인 되어야만 들어갈 수 있는 화면. 현재 누구로 로그인 되어있는지 알려주기. 로그아웃 기능 구현 회원가입 기능 구현 ID 중복 검사 기능 ID, PWD 빈칸 검사 세션아이디는 임의로 유저 아이디를 사용합니다. *참고: 우분투에 APM: Apache, PHP, MySQL 환경 셋팅 데이터베이스 (MySQL) 셋팅 서버이름 = "localhost" 데이터베이스 이름 = "test" 데이터베이스 User name = "root" 데이터베이스 Password= "1234" 테이블 이름 = “users” admin 아.. 이전 1 ··· 3 4 5 6 7 8 다음
