klaus

오늘은 기존에 만들었던 메인 페이지와 로그인 페이지를 전체적으로 수정해 보았습니다. 너무 허접해보여서 보고서에 넣기가......(지속적으로 업데이트 중) 생각보다 시간이 너무 잘 가서(?) 목표했던 회원가입 페이지는 만들지 못하였네요 오늘 밤에 해보거나 내일 오전중으로 완료를 목표입니다. 오늘 한일 더보기 - SQLi 보고서 1차 수정(단락, 여백, 개념, 등 지적사항 수정) - 웹페이지 메인/로그인 수정 - basic UNION/ ERROR 풀어보기(Burp Suite) - 정처기 SQL 과목 훑어보기 [메인 페이지] [로그인 페이지] 로그인 페이지는 조금 더 디자인에 신경 써봐야 할 것 같습니다.ㅋ

0. 목표 및 사전준비 - 4주차 스터디 전 목표 더보기 > Challenges 2~3회 더 풀어보기 > burp suite 사용법 익히기(설치는 했으나, 사용법 및 응용할 줄 모름 ㅠ) > 로그인 페이지 가독성,최대한 취약점X, 등 다시 만들어보기 > 보고서 및 과제 하기 (보고서는 3주차에 알려주신 내용 최대한 적용하여 작성해보기) > SQL책 빠르게 읽어보기 ("정처기 실기 SQL부분" AND "SQL 첫걸음") 목차 [스터디 커리큘럼] - SQL Injection : Union SQL Injection : Error Based SQL Injection 지난, 2주차에서는 SQLi의 개념과 인증 우회 방법에 대해 공부를 진행하였습니다. 이번 3주차에서는 조금 더 자세하게 알아보는 수업으로 진행되었습..

0. 목차 (커리큘럼 참조) SQL Injection : Union SQL Injection : Error Based SQL Injection 지난 2주 차 수업의 SQL Injection 개념, 인증 우회 등 공부 이후 이번에는 SQL Injection의 종류별로 알아보는 듯하다. 1. Union SQL Injection 2개 이상의 쿼리를 요청하여 결과를 얻어내는 Union SQL연산자를 이용한 공격을 말하며, 공격자는 이 연산자를 이용하여 정상적인 요청에 악의적인 쿼리를 삽입하여 정보를 얻어내는 공격 방법 1-1 Union?? Union는 SQL에서 합집합의 개념으로 두 개의 서로 다른 각각의 쿼리를 Union연산을 통하여 하나의 쿼리로 나오게 된다. [SELECT ..... ] UNION [SEL..

지난 시간에는 웹페이지에서 로그인 인증 및 식별하는 case별로 SQL문을 확인해보았습니다. 이번에는 그 케이스 별로 sql injection 인증 우회하는 방법을 간단하게 알아보겠습니다. https://toriyong.tistory.com/9 [Week-2] 로그인 인증/식별 0. 서론 이번주부터는 수업시간에 배운 내용을 살짝 정리하고 해당 내용을 복습할 때 한번 읽어보려고 합니다. 중간에 갑자기 생각이 안나고 그럴 때가 많은 것 같아 정리가 필요할 것 같습니다. toriyong.tistory.com 3. SQL쿼리를 통해 식별/인증 우회 1. 식별/인증을 동시에 처리하는 유형 SELECT * FROM [테이블명] WHERE id = '$username' AND pass = '$pass'; 해당 방법의..

지난 수업시간 이후 injection에 대해 조금 더 자세하게 확인해보았으면 좋겠다는 생각에 정리를 해보았습니다. OWASP의 Top 10 Open Web Application Security Project에 따라 악용가능성, 탐지가능성 및 영향에 대해 빈도수가 높은 웹 보안 취약점 순위입니다. 최근 2021년도에 새롭게 발표가 되었습니다. A01 : Broken Access Control (접근 권한 취약점) 엑세스 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책을 시행합니다. 만약 엑세스 제어가 취약하면 사용자는 주어진 권한을 벗어나 모든 데이터를 무단으로 열람, 수정 혹은 삭제 등의 행위로 이어질 수 있습니다. A02 : Cryptographic Failures (암호화 오류) Sensitiv..

0. 서론 이번주부터는 수업시간에 배운 내용을 살짝 정리하고 해당 내용을 복습할 때 한번 읽어보려고 합니다. 중간에 갑자기 생각이 안나고 그럴 때가 많은 것 같아 정리가 필요할 것 같습니다. 1. 단어정리 SQL injection : 단어 그대로 정상적인 SQL문에 악의적인 SQL문을 삽입하여 DB를 비정상적으로 조작하는 공격 방법 쿠키 : 웹사이트 방문했을 때 만들어지는 파일(정보 = 방문기록 비밀번호 등), 클라이언트 측에 저장됨 세션 : 서버에 저장되는 정보 세션ID : 쿠키에 저장되는 세션 식별 정보를 가진 ID 식별(Identification) : 해당 사용자의 계정정보를 DB에서 찾아내는 것(ID,사번 등), Promary key, 보호 X 인증(Authentication) : 식별된 DB의 ..

이번에는 모의해킹 툴 관련하여 포스팅해보도록 하겠습니다. 먼저 설치만 진행해보도록 하겠습니다. 1. burp Suite 개념 burp Suite는 간단하게 말해 패킷 조작 프로그램(Web Proxy tool)이라고 생각하면 됩니다. 네트워크는 패킷을 주고받으며 정보를 전달하여 소통합니다. 이때 burp Suite와 같은 툴을 써서 중간에 패킷을 가로채고 변조하고 내보내는 등 패킷 위·변조하는 행위를 합니다. 동작원리 더보기 1. 로컬 PC 웹 브라우저에서 [사이트] HTTP request 2. proxy server(버프 스위트) 3. 사이트 접속 4. [사이트] response 5. proxy server(버프 스위트) 6. 로컬 PC 웹 브라우저 2. burp Suite 다운로드 구글에서 burp S..

챕터 1. mysql을 접속하여 DB 및 table 작성 챕터2. php로그인 페이지 만들기 지난 시간에 이어서 PHP로그인 폼 작성 및 로그인 해보도록 하겠습니다. [공부하게 된 내용] 1. 을 통한 내용 정렬 방식 2.

챕터 1. mysql을 접속하여 DB 및 table 작성 챕터2. php로그인 페이지 만들기 이번포스팅에서는 PHP 로그인페이지의 데이터베이스를 구성해보겠습니다. 작성 도중 발생했던 오류를 찾아보고 해답도 하단에 작성하였습니다. 1. DB 및 테이블 작성 mysql -u root -p mysql 접속합니다.(root권한 상태가 아니라면 sudo를 붙여서 로그인하세요) 처음 설치하였다면 우선 소켓모드인지 아니면 패스워드 인증 방식인지 확인해주시기 바랍니다. 이유는 지금 로그인한 root계정이 socker모드인 상태에서 명령(DDL,DML,DCL)사용시 에러가 발생할 수 있습니다. (ERROR 1064 (42000))작성하면서 발생한 오류는 하단에 정리하였습니다. 2. 데이터베이스 만들기 - create d..

우분투를 처음 사용하시는 분들은 여러 불편함이 있을 것 같아 정리해보았습니다. 1. GUI 설치 우분투 및 리눅스를 처음 설치한다면 대부분 CLI라서 windows를 사용하시던 분들은 조금 어려운 감이 있을 겁니다. 리눅스 설치 후 여러 설정을 확인해보겠습니다. apt-get install ubuntu-desktop ##GUI 설치 2. 한글입력기 설치 apt-get install fcitx-hangul ## 한글 입력기 설치(한글이 안써질 때) 3. 인터넷 접속(파이어폭스) apt-get install firefox ##파이어 폭스 설치(인터넷 접속) 4. 시간동기화 (atp) apt-get install atp ##atp설치 [동기화방법] 더보기 sudo vi /etc/ntp.conf 파일 수정 po..