정보보안 및 해킹(125)
-
[Normaltic's CTF] Basic Script Prac
Mypage에서 XSS가 일어난다고 합니다.그럼.. 아마도 Reflected XSS일 확률이 높겠죠?가봅시다일단 회원가입과 로그인 과정은 앞의 문제에서 계속 진행했으니 생략합니다Mypage에서 XSS가 일어난다고 이미 알려줬으니 공지 사항은 그냥 두고 바로 마이페이지로 들어가봅니다Mypage는 다른 문제들과 다름없는 구조입니다.아이디는 있고, 정보가 있고, 변경할 비밀번호가 있는데, 그 중에 Response에 그대로 보이는 것은 닉네임 뿐 입니다.그럼 과연 아이디에서 Reflected XSS가 일어나는 것일까요?한 번 확인해보겠습니다.우선 편하게 아이디 안의 단어를 변경하기 위해 Repeater로 보내줍니다.Repeater로 보냄과 동시에 XSS공격에 필요한 특수문자, 즉 중에, Response를 보니..
2024.07.05 -
[Normaltic's 취업반 과제] XSS Report 2차
작성일 : 2024.06.26 FEED BACK기본 폰트 크기는 10pt 입니다!전체적으로 폰트 크기가 너무 큽니다!또한, 불필요하게 페이지를 넘기지는 말아주세요! 위에 보면 1.1 아래에 충분히 1.2 가 잘리지 않고 다 들어갈 수 있는 공간이기 때문에 페이지 하나에 딱 하나씩만 넣는건 이상합니다!중간에 이야기하다가 끊기거나 그런건 페이지를 넘기는게 좋은데, 이건 그냥 다 페이지를 넘겨버려서 오히려 읽기가 좋지 않습니다! 자가진단저번 피드백은 신경썼지만 폰트 크기가 어떻게 보일지에 대해서는 놓친 것 같다. 이건 전적으로 경험 부족인 듯 하다.금방 해결할 수 있는 부분이라 이번에는 피드백대로 보완해서 파일을 하나 더 작성해보았다.이걸로 조금 더 그럴듯한 보고서가 된 것 같다.
2024.07.05 -
[Normaltic's 취업반 과제] XSS Report 1차
작성일 : 2024.06.18 FEED BACK1) 보고서 형식으로 작성하기! (워드 파일로 작성해주세요!)2) 과정은 상세히! : 문제 원인 분석, 왜 그렇게 동작하는 지 등을 상세히 적어주세요!3) 캡쳐 화면 신경쓰기 : 캡쳐화면의 글씨 크기가 너무 작습니다! 자가진단자유양식이라고 해서 너무 자유롭게 써버렸다. 보고서라고 했을 때에는 어느정도 양식을 맞췄어야 했는데 내 불찰이다.다음에도 보고서 과제가 있으면 피드백을 반드시 반영해야겠다.
2024.07.05 -
[12 WEEK] CSRF
CSRFCross Site Request Forgery크로스 사이트 위조 / 변조정의사용자 모르게 요청을 위조 / 변조하게 만들어 서버에 보내도록 한다 어떻게?공격자가 원하는 요청을 섞은 링크를 보내거나 XSS와 결합하여 동작Reflected XSS의 링크를 클릭하게 한다거나 의 링크가 만약에 비밀번호를 변경하는 요청이었다면? XSS vs CSRF공통점XSS와 CSRF 둘 다 클라이언트 측 공격차이점XSS는 악의적인 스크립트를 삽입하여 공격하고CSRF는 정보를 위조/변조하여 공격함 발생 조건CSRF는 요청을 위조하는 공격이므로, 모든 요청에서 발생할 수 있음그러나, 해당 취약점이 있다고 해서 다 치명적인 것은 아니며, 해당 판단은 개개인에게 맡겨짐 PROCESS //form의 POST요청을 받아 줄 빈 ..
2024.07.05 -
[11 WEEK] XSS Example, XSS Protection
XSS 공격 예제 Event Handleronload, loclick, onmouseover 등 안에서 빠져나오지 못 할 경우 유용함hrefTESTa tag를 클릭하면 페이지가 이동되는 특성 활용 XSS 대응방안 오답필터링블랙필터링- 특정 단어를 허용하지 않음- 대소문자, 특정단어, 특정특수문자 등- 우회할 가능성이 무궁무진함화이트필터링- 특정 단어만을 허용함- 게시판 등 자유도가 보장되어야 하는 곳에서 사용되지 못 함 정답HTML EntityXSS를 유발할 수 있는 특수문자를 HTML EncodingCharacterEntity NumberEntity NameDescription"""quotation mark''' (does not work in IE)apostrophe&..
2024.07.05 -
[9 / 10 WEEK] XSS
XSSCross Site Scripting클라이언트 측 스크립트(이용자 측 스크립트)를 삽입하는 공격피해자는 이용자, 즉 클라이언트가 됨PROCESS1. 작성한 데이터가 화면에 출력되는지 확인작성한 데이터가 화면에 출력되지 않으면 해당 취약점은 소용 없다 2. 특수문자 체크 공격용 스크립트에 사용할 특수문자가 필터링 되고있는지 확인한다 3. 스크립트 삽입script, alert(1) 등 필터링 되고있는지 확인하거나 쿠키를 가져오는 등 여러가지 방법으로 스크립트를 삽입한다 종류 Stored XSS사용 조건공격자(클라이언트)가 삽입하는 스크립트가 서버에 저장되는 곳필수 요소공격자 (클라이언트) 가 삽입하는 스크립트가 서버에 저장되고, 동시에 화면에 혹은 Burp Suite에 해당 데이터가 출력되어야 한다 특..
2024.06.25