건우Sec

tryhackme owasp top 10 링크 주소https://tryhackme.com/r/room/owasptop102021 OWASP Top 10 - 2021Learn about and exploit each of the OWASP Top 10 vulnerabilities; the 10 most critical web security risks.tryhackme.com openvpn 체크 하시고 봐주세요 !!  1. Broken Access Control (취약한 접근제어) 2. Cryptographic Failures (암호화 오류) 3. Injection (인젝션) sql,command injection 등등... 4. A04: Insecure Design (불안전한 설계) 5. Securit..

SQL INJECTION 이란? SQL 언어 injection 주입하다 SQL 인젝션은 데이터베이스에 취약한 부분을 노려 회원에 아이디 패스워드를알아내거나 관리자 계정을 우회할수 있는 걸 SQL INJECTION 이라고 한다. 이렇게 데이터베이스가 멍청하면 생기는 일이다. 직접 해커가 데이터베이스한테 명령을 내려ID 는 admin 인데 비닐번호는 password 야 어디있는지 알아? 정상인 데이터베이스는 입구컷하지만 멍청한 데이터베이스는 그대로 admin 사용자를 찾아 그대로 내준다 SQL INEJCTION 기법들1. 구문우회 기법 1. ' OR '1'='1--2. ' OR '1'='1' -- 3. ' OR '1'='1'/* 4. ' OR 1=1-- 5. ' OR 1=1# 6. ' OR 1=1-- 7. ..

IFRAME INJECTION 이란? HTML INJECTION 중 하나로.HTML 은 HTML 태그로 악성 스크립트를 삽입한다면 IFRAME 은 IFRAME 이라는 태그로 악성 스크립트를 삽입한다또한 IFRAME 태그는 HTML 내용 안에 또 다른 HTML 내용을 출력할 수 있는 태그이다  // 실습 //  LOW 단계 IFRAME INJECTION실습 페이지로 들어가자 여기서 위 링크 주소를 잘보면  http://192.168.142.131/bWAPP/iframei.php?ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250 여기서 robots.txt 는  웹사이트의 어떤 부분을 크롤링할 수 있는지 지시하는 파일이다.쉽게 말하자면 출입된 구역이나 출입이허가 되지 ..

1. 변수  자바 스크립트 변수 선언방법 var : 전역 변수를 선언할때 사용 let : 코드 범위 변수를 선언할때 사용 const : 상수를 선언할때 사용2. 데이터 타입 원시 타입 : 문자열('string') 숫자('number') 불리언('boolean') null , undefined , symbol bigint객체 타입 : 배열('array') 객체('object') 함수('function')  3. 연산자 자바스크립트에서 사용되는 기본연산자 산술 연산자 : + - * / % 비교 연산자 : == , === , != , !== , > , = , 논리 연산자 : && , || , !   4. 제어문 자바스크립트에서는 조건문과 반복문을 사용하여 흐름을 제어할수 있다. 조건문 : if , else i..

XSS 란? 웹페이지에 악성 스크립트를 삽입해 사용자의 개인정보를 뺴돌리거나신천지 사이트가 털렸던거처럼 디페이스 공격을 하는것을 XSS CROSS SITE SCRIPTING 이라 한다. XSS 공격기법도 다양하다 1. Reflected XSS 반사 조건으로 악성스크립트를 웹페이지에 삽입했을떄그대로 반사되는걸 우린 XSS 반사조건이라 한다또한 웹페이지 검색창에 악성스크립트를 삽입하여 피싱을 유도하거나 세션쿠키를 탈취할수 있다 2. Stored XSS 게시물에서 시작되며 게시물에 악성스크립트를 삽입하여다른이가 게시물을 클릭했을때 피싱으로 변질되거나 세션쿠키를 탈취할수 있다. 2가지 실습 본 실습은 DVWA에서 합니다. 1. Reflected XSS  자 우린 여기에 XSS 취약점이 있는지부터 확인할것이다. ..