건우Sec

SQL INJECTION 이란? SQL 언어 injection 주입하다 SQL 인젝션은 데이터베이스에 취약한 부분을 노려 회원에 아이디 패스워드를알아내거나 관리자 계정을 우회할수 있는 걸 SQL INJECTION 이라고 한다. 이렇게 데이터베이스가 멍청하면 생기는 일이다. 직접 해커가 데이터베이스한테 명령을 내려ID 는 admin 인데 비닐번호는 password 야 어디있는지 알아? 정상인 데이터베이스는 입구컷하지만 멍청한 데이터베이스는 그대로 admin 사용자를 찾아 그대로 내준다 SQL INEJCTION 기법들1. 구문우회 기법 1. ' OR '1'='1--2. ' OR '1'='1' -- 3. ' OR '1'='1'/* 4. ' OR 1=1-- 5. ' OR 1=1# 6. ' OR 1=1-- 7. ..

IFRAME INJECTION 이란? HTML INJECTION 중 하나로.HTML 은 HTML 태그로 악성 스크립트를 삽입한다면 IFRAME 은 IFRAME 이라는 태그로 악성 스크립트를 삽입한다또한 IFRAME 태그는 HTML 내용 안에 또 다른 HTML 내용을 출력할 수 있는 태그이다  // 실습 //  LOW 단계 IFRAME INJECTION실습 페이지로 들어가자 여기서 위 링크 주소를 잘보면  http://192.168.142.131/bWAPP/iframei.php?ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250 여기서 robots.txt 는  웹사이트의 어떤 부분을 크롤링할 수 있는지 지시하는 파일이다.쉽게 말하자면 출입된 구역이나 출입이허가 되지 ..

HTML 인젝션이란? 웹 애플리케이션에 악의적인 HTML 코드를 웹 페이지에 삽입하는 기법이다. 두가지에 HTML 인젝션 공격기법이 있다 1. Reflected 반사조건 검색창에 악성 HTML 스크립트를 넣었을떄 생기는 취약점 공격이다. 이로 인해 사용자는 PC 에서 HTML 악성 코드가 실행되어서 피싱 , 세션쿠키탈취 등등 가능하다. 2. Stored 저장형 주로 게시물에서 발생하는데 게시물에 악의적인 HTML 스크립트를 삽입할떄 생기는 취약점이다 이로 인해 게시물을 누르는 사람은 HTML 악성 스크립트가 실행되 피싱 , 세션쿠키 탈취에 노출된다 [실습] 자 우리는 원하는건 HTML 인젝션을 활용하는 것이니.. 해킹 당했다는 문구를 한번 넣어볼것이다  자 이렇게 HTML 악성 스크립트를 넣어 해킹 당했..