| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- html
- DATAPATH
- DB
- DoM
- control
- python
- Class
- Java
- instruction
- while
- CSS
- data structure
- Pipelining
- github
- for
- XML
- Algorithm
- architecture
- MIPS
- DS
- php
- web
- computer
- system
- Linux
- javascript
- function
- react
- mysql
- MacOS
- Today
- Total
YYYEJI
[DVWA] 웹 모의해킹 실습 (SQL Injection, XSS) 본문
DVWA 란 ? ? ?
웹 모의해킹 실습 서버입니다.
실습을 시작해봅시다.
XAMPP를 먼저 실행해주세요!
http://localhost/dvwa
SQL injection - Low level
SQL injection - Medium level
intercept off 해주고 위에 화면에서 submit 해주면 밑에 화면이 나옴
여기서 UNION 이란 ? ? ?
뒤에 새로운 쿼리문을 작성할 수 있고,
새로운 TABLE에 대해서 조회할 수도 있습니다.
SQL injection -High level
SQL injection - Impossible level
SQL injection
binding에서 쿼리문으로 인식하지 않음.
미리 데이터베이스에서 컴파일을 하고 오기 때문임.
주석(#) 처리를 해도 안됨.
XSS (Stored)
주로 게시판에서 악용이 됨.
다른 유저가 관람을 하면 스크립트가 열림.
이때 쿠키가 탈취됨(세션 정보 등이 탈취됨).
XSS - Low level
한 유저가 로그인을 하게되면 session ID를 받음.
session 시간이 만료되면 다시 로그인 해야됨.
( session ID - login 유지를 하기 위해서 사용 )
사이트에서 교수님/ 학생이 접속할 수 있는 사이트가 있을 때,
학생이 교수님 페이지에 접속하면 안되지 때문에 토큰을 줌.
사이트에 들어가기 위한 토큰이 없으면 사이트에 들어갈 수 없음.
XSS - Medium level
XSS - High level
XSS - Impossible level
보안 요소를 확인하세요 ! ! !
이렇게 코드를 짜면 완벽한 웹 페이지 제작이 가능합니다 ! ! !
HTML Entity
| 엔티티 문자 | 엔티티 이름 | 16진수 엔티티 숫자 | 설명 |
| |   | 줄 바꿈 없는 공백 | |
| < | < | < | ~ 작은 |
| > | > | > | ~ 큰 |
| & | & | & | AND 기호 |
| " | " | " | 큰따옴표 |
| ' | ' | ' | 작은따옴표 |
수고하셨습니다 ×͜×
'Security' 카테고리의 다른 글
| [DVWA] 웹 모의해킹 실습 (Stored XSS) (0) | 2022.07.30 |
|---|---|
| [DVWA] 웹 모의해킹 실습 (Blind SQL Injection) (0) | 2022.07.29 |
| [DVWA] 웹 모의해킹 실습 (Command Injection, File Upload) (0) | 2022.07.28 |
| [XAMPP] XAMPP 다운로드하기 (0) | 2022.07.26 |
| [GDB] gdb 명령어 정리 (0) | 2022.07.19 |
