취약점 개념 설명 CSRF 취약점은 Cross-Site Request Forgery의 약어로 사이트 간 요청 위조라는 의미의 취약점으로 사용자의 의지와는 무관하게 공격자가 의도한 행위, 예를 들면 게시글 작성 또는 수정, 삭제 또는 패스워드 변경 등의 요청을 사용자의 권한으로 특정 웹 서버에 요청할 수 있는 취약점을 의미합니다. CSRF 사례 실제 사례로 2008년 옥션의 관리자가 CSRF 공격에 당하여 관리자 계정이 탈취된 사례가 있는데 이로 인해 약 1,800만 명의 개인정보가 유출된 사례가 있다. 이러한 방식으로 공격에 당할 경우 상당히 파급력이 커질 수 있는 위험도가 높은 취약점이다. DVWA (Medium) 환경 실습 CSRF 공격 실습을 위해 CSRF 탭에 들어온 모습이다. 해당 페이지에 있는..
CERT/웹 모의해킹 실습
취약점 개념 설명 Command Injection 취약점은 취약한 애플리케이션을 실행 중인 서버에서 임의의 운영체제 명령을 실행할 수 있는 취약점을 의미한다. 이 취약점이 존재할 경우 애플리케이션을 구동하고 있는 시스템 계정의 쉘 권한을 획득한 것과 같기 때문에 위험도가 높은 취약점 중 하나이다. 위 사진의 경우 Command Injection 공격 방식을 그림으로 표현한 것이다. 공격자가 애플리케이션에 접근 후 기본적으로 사용되는 명령어 뒤에 ;(세미콜론)을 삽입한 후 명령어를 추가로 입력하여 서버로 전송한다. 서버는 입력된 명령어를 필터링하지 않아 서버에서 2 가지 명령어가 실행되고 실행된 명령의 출력이 공격자에게 전송되어 민감한 정보가 노출되는 결과가 나오게 되는 것을 그림으로 설명한 것이다. DV..
취약점 개념 설명 무차별 대입 공격이라고 부르는 공격 기법으로 위 그림과 같이 특정한 암호를 알아내기 위해 가능한 모든 경우의 수를 대입하여 암호를 알아내는 공격 기법을 의미한다. Brute Force 공격 사례 실제 최근 사례로 다른 취약한 웹 페이지에서 탈취된 개인정보를 기반으로 우리은행 웹 사이트에서 Brute Force 공격을 수행하여 약 56,000 건의 개인정보가 유출되는 등의 사건이 발생한 사례가 있다. DVWA(Medium) 환경 실습 Brute Force 공격 실습을 위해 DVWA 페이지에서 Brute Force 페이지로 이동한 모습이다. 위 그림과 같이 일반적인 로그인 기능이 있는 것을 확인할 수 있다. 사용자 계정 또는 패스워드가 틀렸을 경우에는 위 그림에 보이는 것과 같이 Usern..
Stored XSS 취약점에 대해 알아보기 앞서 XSS(Cross Site Scripting)취약점에 대해 간략하게 살펴보겠습니다. XSS ( Cross Site Scripting ) ? 웹 사이트 관리자가 아닌 이가 웹 페이지에 클라이언트 측에서 실행될 수 있는 악성 스크립트를 삽입할 수 있는 취약점 Stored XSS ? 공격자가 서버에서 제공되는 게시판, 방명록, 사용자 프로필 등에 악의적인 스크립트를 작성하여 저장한 후 사용자가 게시물, 방명록 등을 확인하면 스크립트가 사용자에게 전달되어 실행되는 취약점 공격자가 작성한 악성 스크립트가 서버에 저장되어 사용된다는 특징이 있다. DVWA 환경에서 Stored XSS 실습 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 ..
Reflected XSS에 대해 알아보기 앞서 XSS(Cross Site Scripting)취약점이 무엇인지 간단하게 알아보도록 하겠습니다. XSS ( Cross Site Scripting ) ? 웹 사이트 관리자가 아닌 이가 웹 페이지에 클라이언트 측에서 실행될 수 있는 악성 스크립트를 삽입할 수 있는 취약점 Reflected XSS ? 공격자가 악성 스크립트가 담긴 URL을 생성하여 메일 등을 통해 사용자에게 전달한 후 실행하도록 하는 공격으로 사진과 같이 공격자가 악성 스크립트가 담긴 URL을 사용자에게 전달 후 사용자가 실행하면 웹 서버로부터 해당 스크립트에 대한 응답이 즉시 사용자에게 전달되는데 이것이 마치 반사되는 것과 같은 형상을 보이기 때문에 Reflected(반사형) XSS 공격이라 부른..