모의해킹 (4) 썸네일형 리스트형 [BeeBox] 인젝션 공격 유형(AJAX) AJAX 인젝션 AJAX? AJAX란, JavaScript의 라이브러리중 하나이며 Asynchronous Javascript And Xml(비동기식 자바스크립트와 xml)의 약자이다. 브라우저가 가지고있는 XMLHttpRequest 객체를 이용해서 전체 페이지를 새로 고치지 않고도 페이지의 일부만을 위한 데이터를 로드하는 기법 이며 JavaScript를 사용한 비동기 통신, 클라이언트와 서버간에 XML 데이터를 주고받는 기술이다. 즉, 쉽게 말하자면 자바스크립트를 통해서 서버에 데이터를 요청하는 것이다. 비동기 방식이란? 비동기 방식은 웹페이지를 리로드하지 않고 데이터를 불러오는 방식이며 Ajax를 통해서 서버에 요청을 한 후 멈추어 있는 것이 아니라 그 프로그램은 계속 돌아간다는 의미를 내포하고 있다... [BeeBox] 인젝션 공격 유형(OS & PHP & SSI(Server side Includes)) *가상환경 구축 후 실습을 진행할 것을 권고드리며 대외 서버 및 홈페이지에 해킹 시도는 불법입니다. OS Commnad 인젝션 - 시스템 명령어를 쿼리문에 주입하여 취약한 변수를 통해 서버 운영체제에 접근하는 공격 DNS lookup의 도메인에 대한 IP를 확인 시켜주는 웹 사이트가 존재한다. - 해당 웹 서버의 입력 시 실행 코드를 확인한 결과 시스템 명령어 실행 함수인 shell_exec를 통한 nslookup 명령어를 실행하여 홈페이지에 출력 결과를 보여주는 것을 확인했다. - shell_exec의 실행 명령의 취약점을 사용하기 위해 파이프(|)를 사용하여 공격자가 임의의 명령어를 실행을 한다. - 명령어를 추가 입력하는 파이프를 사용하여 웹 사이트에 입력한 결과 서버에서 명령이 실행되고 홈페이지에.. [BeeBox]웹해킹 HTML 인젝션 - Stored(POST) *가상환경 구축 후 실습을 진행할 것을 권고드리며 대외 서버 및 홈페이지에 해킹 시도는 불법입니다. XSS Reflected GET - 공격자는 XSS 스크립트를 취약점이 있는 웹 사이트의 게시글에 등재하고 웹 서버 데이터베이스에 악성 스크립트를 삽입한다. 그 후 다른 사용자가 공격자의 게시글에 있는 스크립트를 활성화 시 저장된 악성 스크립트 내용을 확인한 사용자의 PC에 HTML 태그가 실행되는 공격 이다. 공격 시나리오. 공격자가 웹 서버 DB에 악성 스크립트를 삽입한다. 희생자는 공격자가 악성 스크립트를 삽입한 게시글을 접근한다. 희생자가 웹 서버에 삽입된 스크립트를 읽고 실행한다. 희생자는 공격자가 삽입한 악성스크립트의 코드를 실행하여 공격자가에 희생자 정보를 전달한다. First name: La.. [BeeBox]웹해킹 HTML 인젝션 - Reflected(GET &POST) *가상환경 구축 후 실습을 진행할 것을 권고드리며 대외 서버 및 홈페이지에 해킹 시도는 불법입니다. SQL 인젝션 개요 SQL 인젝션(SQL 삽입, SQL 주입으로도 불린다)은 코드 인젝션의 한 기법으로 클라이언트의 입력값을 조작하여 서버의 데이터베이스를 공격할 수 있는 공격방식을 말한다. 주로 사용자가 입력한 데이터를 제대로 필터링, 이스케이핑하지 못했을 경우에 발생한다. 공격의 쉬운 난이도에 비해 파괴력이 어마어마하기 때문에 시큐어 코딩을 하는 개발자라면 가장 먼저 배우게 되는 내용이다. 이러한 injection 계열의 취약점들은 테스트를 통해 발견하기는 힘들지만 스캐닝툴이나 코드 검증절차를 거치면 보통 쉽게 발견되기 때문에 탐지하기는 쉬운 편이다. OWASP에서도 수년 동안 인젝션 기법이 보안 위협.. 이전 1 다음
