> Information Security/ Web Security
-
BurpSuite (프록시 변조 툴)> Information Security/ Web Security 2013. 9. 11. 01:02
본 게시글은 연구목적으로 작성된 글이며, 악의적인 목적으로 이용 시 법적 책임은 자신에게 있습니다. 웹 페이지의 요청과 응답속에서 어떤 메시지가 오고 가는지를 알기 위해서 가장 중요한 것은 세션과 쿠키를 살펴보는 것이다. 지금 소개할 BurpSuite는 사용자가 웹 서버에 요청을 하고, 웹 서버로 부터 응답을 받을 때 중간에서 프록시 서버의 역할과 비슷하다. 예를 들어, 사용자가 포털사이트에 접속하고자 할 때사용자는포털사이트의 웹 서버에 ("웹 페이지를 보내줘!")요청을 보내고, 웹 서버는 이에 대한 응답으로 웹 페이지를 보내준다. 이 때 프록시 서버의 역할은 호스트와 웹 서버 사이에서의 요청과 응답을 중간에서 한 번씩 거쳐가는 역할을 한다.원래는 서버의 부담을 덜어주기 위해 프록시 서버의 개념이 생겼으..
-
XSS(Cross-SIte-Scripting)> Information Security/ Web Security 2013. 9. 11. 00:41
본 게시글은 연구목적으로 작성된 글이며, 악의적인 목적으로 이용 시 법적 책임은 자신에게 있습니다. XSS (Cross - Site- Scripting) 필터링되지 않은 스크립트문(예 :)이 웹에서 출력되어 스크립트가 실행되는 경우를 말한다. XSS의 가장 일반적인 형태는 공격자가 웹 서버에 게시물을 통해 악성스크립트를 업로드하고,사용자는 해당 게시글을 클릭했을 때 악성 스크립트가 실행되는 형태다. 여기에서 악성스크립트가 실행되는 방식에 따라 Stored방식과 Reflective방식으로 나뉠 수 있다. 1. 공격자가 웹 서버에 악성스크립트가 담긴 게시물을 등록한다.2. 이 때 게시물은 웹 서버에 저장된다.3. 사용자가 웹 서버에 요청/응답할 때, 악성스크립트가 실행된다. 1. 공격자는 게시글에 악성스크립..
-
데이터베이스와 테이블생성> Information Security/ Web Security 2010. 8. 18. 12:28
SQL을 이용해서 데이터베이스를 생성할 때 데이터베이스를 생성하는 명령어는 CREATE DATABASE 데이터베이스이름 이와같이 테이블을 생성하는 명령어는 CREATE TABLE 테이블이름(칼럼1이름 설명, 칼럼2이름 설명, 칼럼3이름 설명 ...) SQL은 대소문자를 구분하지 않지만, SQL 키워드를 대문자로 사용하면, DB 테이블과 칼럼의 이름을 구분하기 쉬움) 예) sitename 이라는 DB를 생성하고, users 테이블을 생성하자. 이때 실제로 'sitename'이라는 데이터베이스가 생성되었는지 확인해보도록 하겠다. 일반적인 경로인 C:\APM_SETUP\Server\MYSQL5\Data 에 가보면 sitename 이라는 데이터베이스가 생성된 것을 볼 수 있다. 다음단계로, 'sitename'이..
-
APM Setup (Apache + PHP + MySQL) 설치와 MySQL 실행하기.> Information Security/ Web Security 2010. 8. 17. 12:08
APM Setup 은 Apache + PHP + MySQL을 사용자가 쉽게 설치 할 수 있도록 만든 프로그램이다. http://www.apmsetup.com 에 들어가서 프로그램을 다운받아서 설치하면 된다. APM SETUP 을 실행해 보면 아래와 같은 프로그램이 실행된다. Apache 서버와 MySQL의 상태를 볼 수 있다. 마우스 오른쪽 버튼을 눌러서 관리 및 상태를 볼 수 있다. MySQL 쪽에서 오른쪽 버튼을 눌러서 MySQL 관리 를 눌러주면 새 창에 루트가 http://127.0.0.1/myadmin/ 인 주소로 phpMyAdmin 관리창이 뜬다. 이 때 기본적으로 사용자명은 root 암호는 apmsetup으로 설정되어 있다. 참고로 일반적으로는 apmsetup프로그램이 설치 되면서 php나 ..
-
와우해커 Webgame 3번> Information Security/ Web Security 2010. 7. 23. 15:49
http://webgame.wowhacker.com/weblevel3/list.php 먼저 3번문제에 들어가면 이러한 내용의 게시판이 나온다. 아래는 1,2,3,4번 게시글의 첨부되어있는 파일의 URL 주소와 게시작성글의 시간이다. 1번. 2006.10.18 09:05:25 0.25616200 http://webgame.wowhacker.com/weblevel3/down/b72776c5eb0c5a05a7188959a49e1f1b.25616200 2번. 2006.10.19 10:01:05 0.57833500 http://webgame.wowhacker.com/weblevel3/down/28d805e190f11ba1da5283d494ee8492.57833500 3번. 2006.10.20 12:05.19 0...
-
와우해커 Webgame 2번> Information Security/ Web Security 2010. 7. 21. 15:59
http://webgame.wowhacker.com/levelii/ Webgame 1번 문제에 이어 Webgame 2번문제에 들어가보니 이런 게시판이 나왔다. 1번 글 부터 차근차근히 클릭해 보았다. 2번글 3번글 오잉. 제목이 Password.txt인 3번글에서는 글을 읽으려면 Level 7 이상이 되어야 한단다. 왠지 권한을 Level 7 이상으로 바꾸고 이 글을 보면 문제를 푸는데 도움이 될만한 힌트가 나올 것 같다. 4번글 이번에는 제목이 Answer.txt 인 4번 글에서는 Level 5 이상이 되어야 한다고한다. 나머지 5, 6, 8, 9, 10 에서는 그냥 아무런 도움이 되지 않고 7번 글 에서는 역시 Level 5이상이어야만 글을 읽을 수 있다는 메시지 창이 떴고, 10번 글 공지사항에서는..
-
와우해커 Webgame 1번> Information Security/ Web Security 2010. 7. 21. 11:25
http://webgame.wowhacker.com/level1.php 힌트를 보면 php파일의 소스코드를 웹에서 볼 수 있는 방법을 요구한다. 기존의 내가 알던 php파일의 소스코드를 알아내는 방법은 마우스 오른쪽 클릭 ->소스보기 뿐 이었다. 일단 내가 아는 지식으로 소스를 확인했더니 와 같은 페이지 그대로의 php 소스만 나왔다. 일단 내가 php에 대해 아는지식은 거의 부족하므로 웹 상에서 php파일의 소스코드를 알아내는 방법을 검색해 보았더니 phps (php source)의 확장자를 이용하면 웹 상에서 php파일의 소스코드를 알아낼 수 있다고 한다. 그렇게 해서 웹 주소창에 http://webgame.wowhacker.com/level1.phps 를 해보았더니 위와 같은 php소스가 나타났다...