전체 글(179)
-
[normaltic 취업반 5기] 2024-02-07 14주차 과제 : 2번 과제 Web Shell 1, 2, 3
과제 목표 Web Shell 1, 2, 3 문제에서 웹쉘 코드가 포함된 파일을 업로드하고 웹 서버 내에서 플레그를 찾아라 Web Shell 1 문제 1) Web Shell 1 문제 환경 Web Shell 1 문제에서 주어진 웹 페이지는 다음과 같다. http://ctf.segfaulthub.com:8989/webshell_1/ : 공격 수행 페이지 [1] http://ctf.segfaulthub.com:8989/webshell_1/ 해당 웹 페이지에서 웹쉘 파일을 업로드 하고 플레그를 찾는다. 2) Web Shell 1 문제 공격 시나리오 Web Shell 1 문제 공격 시나리오는 다음과 같다. 파일 업로드 기능이 존재하는 웹 페이지를 찾는다. 웹쉘 코드가 입력된 파일을 작성한다. 작성한 파일을 업로드 ..
2024.02.18 -
[Web Application-개발] 2024-02-15 웹 어플리케이션 제작 프로젝트 : 웹 디자인 #10-3
프로젝트 일지 남은 페이지인 게시판 페이지와 게시글 상세정보 페이지를 디자인한다. 게시판 페이지 게시판 페이지에서 작성된 게시글 위에 커서를 올리게 되면 흰색에서 회색으로 변하게 된다. 또한 현재 사용자가 게시글을 읽었을 때 읽은 표시를 게시글의 제목으로 표시를 하였다. 한 번이라도 읽은 게시글의 제목은 회색으로 변한다. 또한 버튼과 페이지 위에 커서를 올리게 되면 색이 변하게 된다. 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535..
2024.02.15 -
[normaltic 취업반 5기] 2024-02-14 15주차 내용 정리
파일 업로드(File Upload) 취약점 요약 1) 정의 공격자가 임의의 파일을 웹 서버에 업로드 가능한 공격 => 서버 측에서 실행될 수 있는 파일을 업로드하는 것이 핵심 2) 원리 공격자는 공격대상 서버에서 사용하고 있는 벡엔드 언어로 이루어진 파일 작성한다. 공격대상 서버의 파일 업로드 기능으로 파일을 업로드한다. 업로드된 파일의 저장된 경로를 확인한다. 저장된 경로를 웹 브라우저에 입력하여 파일을 요청한다. 요청된 파일이 웹 서버에서 실행되어 그 결과가 웹 브라우저에 출력된다. 파일 업로드(File Upload) 취약점 우회 방법 1) .htaccess 파일 업로드 파일이 저장되는 디렉터리에 .htaccess 파일을 업로드하여 특정 확장자로 이루어진 파일을 설정한 확장자로 실행되도록 한다. 예를..
2024.02.15 -
[Web Application-개발] 2024-02-13 웹 어플리케이션 제작 프로젝트 : 웹 디자인 #10-2
프로젝트 일지 웹 사이트의 기본 레이아웃을 만들었으니 이제는 각 웹 페이지의 주 컨텐츠를 디자인할 차례이다. 먼저 로그인 페이지, 회원가입 페이지 그리고 회원정보 및 수정 페이지를 디자인한다. 로그인 페이지 로그인 페이지에서 '로그인' 버튼에 커서를 올리면 색이 변하는 기능을 구현하였다. 12345678910111213141516 main> div class="main-form" id="main-login"> h2 style="margin-top:20px;padding:30px;">로그인/h2> form method="POST" action="/php/login_..
2024.02.13 -
[Web Application-개발] 2024-02-13 웹 어플리케이션 제작 프로젝트 : 웹 디자인 #10-1
프로젝트 일지 웹 어플리케이션이 갖춰야 할 기능들을 어느 정도 구현을 했으니 이제 웹 디자인을 할 차례이다. 디자인을 하기 위해서 웹 디자인의 기본 레이아웃 구성인 헤더(Header)/메인(Main)/푸터(Footer) 형태를 따랐으며 이를 시멘틱 태그로 나눠 분리하였다. 웹 디자인 기본 레이아웃 웹 디자인에 쓰이는 기본 레이아웃은 헤더/메인/푸터로 나뉜다. 헤더는 상단이며 사람으로 치면 머리에 해당한다. 메인은 중단이며 사람으로 치면 몸통에 해당한다. 푸터는 하단이며 사람으로 치면 하체에 해당한다. 정리하자면 다음과 같다. 헤더-상단-머리메인-중단-몸통푸터-하단-하체 1) 헤더(Header) 헤더는 웹 사이트 상단에 해당하는 부분이다. 헤더에는 ..
2024.02.13 -
[Web Hacking] CSRF(Cross-Site Request Forgery)
CSRF(Cross Site Request Forgery) CSRF란 사이트 간 요청 위조의 줄임말이며 웹 어플리케이션 취약점 중 하나로 피해자의 의지와 무관하게 공격자가 원하는 임의의 요청(데이터 수정, 삭제, 등록 등)을 하게 만드는 공격이다. 예를 들어 CSRF 공격으로 피해자의 계정 비밀번호를 변경시키거나 자금을 송금시키는 등의 동작을 수행하게 만들 수 있다. CSRF vs XSS CSRF 취약점에 대해서 설명할 때 항상 등장하는 취약점이 바로 XSS 취약점이다. 두 취약점은 결이 비슷하며 연계하여 공격을 수행할 시 효과가 극대화될 정도로 시너지가 좋다. 그렇다면 CSRF 취약점은 XSS 취약점이 존재하지 않으면 공격이 불가능한가? 아니다, CSRF 취약점은 XSS 취약점이 존재하지 않아도 단독적..
2024.02.11