klaus

1. XSS(Cross-Site Scripting)이란?? XSS(크로스 사이트 스크립팅)은 공격자가 공격하려는 웹사이트에 악성스크립트를 삽입하여 웹사이트 사용자의 웹브라우저에서 해당 코드가 실행되는 공격 기법. 해당, 공격 기법의 경우 사용자가 의도하지 않은 행동을 하거나 쿠키,세션 등의 정보를 탈취하여 세션 하이재킹(Session hijacking) 공격에 사용되기도 합니다. 2. XSS (Cross-Site Scripting)공격 유형 Reflected XSS 패턴 1. 악의적인 사용자가 보안이 취약한 사이트 발견 2. 보안이 취약한 사이트에서 악의적인 스크립트가 담긴 URL을 만들어 일반 사용자에게 스팸 메일로 전달 3. 일반 사용자는 메일을 통해 전달받은 URL 링크를 통해 접속.일반 사용자 브..

벌써 4주차 수업이 끝났습니다. 이번주까지 SQLi를 진행하고 차주부터는 XSS에 대해서 배우는 것 같습니다. 과제가 생각보다 밀리는.... 서론은 여기까지하고 이번주 공부했던 내용을 정리해보도록 하겠습니다. 1. BLIND Based SQLi이란?? Blind Based SQL Injection은 SQL쿼리의 결과 값이 참 OR 거짓의 응답에 따라 사용가능 유무를 확인합니다. 단, 문법적 에러가 아닌 논리적 에러가 발생해야합니다.(==문법적 에러가 발생하면 문턱도 못 밟아보고 끝) SQL 인젝션이 가능한 모든 곳에 사용 가능하다는 장점이 있습니다. 한글짜씩 추출하여 찾기 때문에 시간이 오래걸린다는 단점이 있어 파이썬이나 프로그래밍 언어로 매크로를 작성하여 사용합니다. 2. BLIND Based SQLi..

1. NMAP 개념 NMAP은 Network Mapper의 약자로 오픈소스 기반 네트워크 스캐닝 툴로 오래전부터 사용되고 있는 소프트웨어입니다. 대표적으로 포트 스캐닝, 호스트의 정보 수집, 방화벽 등을 확인할 수 있는 기능이 있습니다. 설치방법 https://nmap.org 사이트를 접속하여 자신의 컴퓨터 OS에 맞은 버전을 다운로드하여 사용 가능합니다. ※칼리 리눅스의 경우 기본으로 설치되어 있음. 2. NMAP 사용방법 nmap [옵션] [호스트 주소(IP)] 자주 사용되는 유형 및 옵션 CLI 설명 nmap [IP] 대표적으로 사용되는 포트를 검사하여 확인 nmap [IP] -[포트번호] 특정 포트번호만 스캔하는 방법 nmap [IP] -p- 전체 포트 스캔 (시간이 오래 걸림) nmap -sV ..