| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
- mysql
- control
- javascript
- while
- Algorithm
- Class
- computer
- XML
- CSS
- DATAPATH
- web
- DS
- github
- Pipelining
- php
- architecture
- html
- data structure
- Linux
- system
- react
- instruction
- DB
- MIPS
- Java
- function
- MacOS
- python
- DoM
- for
- Today
- Total
목록Security (7)
YYYEJI
[DVWA] 웹 모의해킹 실습 (CSRF)
CSRF(Cross-Site Request Forgery) 란 ? ? ? 사용자의 의도와 무관하게 해커의 의도하는 악의적인 요청을 수행하게 하는 공격입니다. CSRF - Low level URL이 get 방식이기 때문에 URL로만 공격을 시도할 수 있습니다.
[DVWA] 웹 모의해킹 실습 (Stored XSS)
Stored XSS 란 ? ? ? 웹 브라우저 스크립트를 실행하는 것은 Reflected XSS 공격과 동일하지만, 웹 서버에 스크립트를 저장했다가 실행된다는 차이점이 있습니다. Stored XSS - Low level $ ◡̈
[DVWA] 웹 모의해킹 실습 (Blind SQL Injection)
Blind SQL Injection 이 공격 기법이 가능하면 데이터 베이스의 정보를 다 가져올 수 있기 때문에 매우 위험합니다. 검색 엔진 부분에서 많이 test하고, 결과가 true/false로 나타낼 때 Blind SQL Injection 시도를 많이 합니다. 실습 Let's get it ٩( ᐛ )و Blind SQL Injection - Low level How ? ? ? DB의 Information schema -> 중요한 정보가 다 들어있음. 해커는 데이터 베이스 이름조차 모르지만 Blind SQL Injection 기법을 사용해서 DB이름 찾고 테이블 찾고 하면서 정보 다 찾아감. 아래 코드로 계속해서 아이디를 찾아가는데 ! ! ! 1'and ascii(substr((select first_..
[DVWA] 웹 모의해킹 실습 (Command Injection, File Upload)
Command Injection이란 ? ? ? 사용자가 입력하는 인자 값을 조작해서 OS 명령을 실행하는 공격기법입니다. 내려가면 답이 나와있기 때문에 먼저 풀어보세요 ! ! ! Command Injection - Low level Command Injection - Medium level Command Injection - High level File Upload - Low level 업로드 한 파일의 경로를 알아내서 url 입력창에 get 방식으로 명령어 작성해서 해킹하는 공격방식입니다. URL 입력창이 Terminal이라고 생각하면 됩니다 ! ! ! File Upload - Medium level MiME type - 클라이언트에게 전송된 문서의 다양성을 알려주기 위한 메커니즘이다. text/pla..
[DVWA] 웹 모의해킹 실습 (SQL Injection, XSS)
DVWA 란 ? ? ? 웹 모의해킹 실습 서버입니다. 실습을 시작해봅시다. XAMPP를 먼저 실행해주세요! http://localhost/dvwa SQL injection - Low level SQL injection - Medium level intercept off 해주고 위에 화면에서 submit 해주면 밑에 화면이 나옴 여기서 UNION 이란 ? ? ? 뒤에 새로운 쿼리문을 작성할 수 있고, 새로운 TABLE에 대해서 조회할 수도 있습니다. SQL injection -High level SQL injection - Impossible level SQL injection binding에서 쿼리문으로 인식하지 않음. 미리 데이터베이스에서 컴파일을 하고 오기 때문임. 주석(#) 처리를 해도 안됨. XS..
[XAMPP] XAMPP 다운로드하기
XAMPP Apache + MariaDB + PHP + Perl 아래 사이트에서 다운로드 해주시면 됩니다 ! https://www.apachefriends.org XAMPP Installers and Downloads for Apache Friends What is XAMPP? XAMPP is the most popular PHP development environment XAMPP is a completely free, easy to install Apache distribution containing MariaDB, PHP, and Perl. The XAMPP open source package has been set up to be incredibly easy to install and to us ..
[GDB] gdb 명령어 정리
gdb는 디버깅(Debugging)을 목적으로 프로그램 내부의 상황을 알 수 있게 해주는 디버거(Debugger)입니다. 우선 gdb를 실습하기 전에 도커를 다운 받아주세요! [Docker] MacOS에서 Docker 시작하기 Docker(도커)란? 컨테이너 기반의 오프소스 가상화 플랫폼이다. Image(이미지)란? 컨테이너 실행에 필요한 파일과 설정값등을 포함하고 있는 것이다. 상태값을 가지지 않고 변하지 않는다. Container( yyyeji.tistory.com 도커가 다운이 되었다면 바로 시작하도록 하겠습니다! 아래 명령어를 통해 도커 계정에 로그인합니다. $ docker run -it —name bufferoverflow ubuntu:20.04 /bin/bash 아래 명령어를 하나씩 입력해서 ..