728x90 전체 글480 파일 인클루젼 공격 안녕하세요. 오늘은 파일 인클루젼 공격에 대해 알아보겠습니다. 파일 인클루젼 공격은 주로 PHP Application 에서 발생합니다. 그 이유는 PHP include() 로 앱 요청을 지정할 수 있다면 파일을 직접 소스코드에 삽입할 수 있기 때문입니다. -로컬파일인클루젼(LFI) : 웹 서버에 이미 존재하고 있는 파일을 인클루드 -리모트파일인클루젼(RFI) : LFI 보다 더 강력한 공격으로 원격으로 외부에 있는 파일을 인클루드 정상적 웹 사이트 page=file.php 이렇게 파일을 인클루드 하는데 해커는 자신의 사이트를 통해 page = htpp://hacker.com/bad.php 인클루드 시켜버립니다. 만약 검사를 따로 하지 않는다면 웹 사이트는 그대로 악성코드를 실행시키게 되는 겁니다. 이제 .. 2020. 5. 4. CSRF 공격대응 만약 CSRF 를 모르신다면 https://com24everyday.tistory.com/34 CSRF공격 오늘은 CSRF 공격에 대해 배워보겠습니다. CSRF는 Cross Site Request Forgery 의 약자로 사이트 간 요청 위조로 해커들이 피싱을 활용하여 사용자 모르게 패스워드를 변경하거나 하는 공격기법입니다. 피 com24everyday.tistory.com 포스팅을 보고 와주세요! 보안 단계를 impossible 로 바꿔 주세요. 보면 현재 패스워드를 추가입력해야합니다. 이러면 해커가 기본의 패스워드를 알고 있지 않은 한 공격을 할 수 없습니다. CSRF에 가장 좋은 대응 책은 이와 같이 주요한 기능에는 현재 패스워드 추가 입력을 한다거나 CAPTCHA 같은 것을 이용해서 사용자가 직접.. 2020. 5. 3. CSRF공격 오늘은 CSRF 공격에 대해 배워보겠습니다. CSRF는 Cross Site Request Forgery 의 약자로 사이트 간 요청 위조로 해커들이 피싱을 활용하여 사용자 모르게 패스워드를 변경하거나 하는 공격기법입니다. 피싱이라는 것은 사회 공학 기법 중 하나로 이메일이나 게시판을 이용해 은행이나 대기업인 척 하면서 사용자들을 낚는 것 입니다. 옥션 해킹 사건에서 이용된 공격이기도 합니다. CSRF 공격 단계 1. 정상 접송 및 로그인 2. 해커의 피싱 (ex : 클릭하여 보안 강화 바랍니다.) 3. 패스워드 변경 요청 (사용자도 모르게 패스워드 변경) 4. 변경된 패스워드로 접속 피싱만 하면 난이도 자체는 쉬운 공격에 속합니다. 하지만 피싱을 당할때 사용자가 로그인이 되어 있어야합니다. 요즘 같은 경우.. 2020. 5. 3. 커맨드 인젝션 공격 대응 https://com24everyday.tistory.com/32?category=1114111 커맨드인젝션 공격 안녕하세요. 부산 공수니입니다. 오늘은 '커맨드 인젝션'에 대해 알아보겠습니다. 바로 Go. 컨맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹을 통해 시스템 명령어를 실행하는 공격입니다. 만약 웹 내부에서 시스.. com24everyday.tistory.com 커맨드 인젝션 공격 대응을 알아보겠습니다! 커맨드 인젝션을 잘 모르시는 분은 위 포스팅으로 갔다와주세요ㅎㅎ 커맨드 인젝션에 가장 좋은 대응 방안은 입력 값이 적절한 값인지 조사하는 것 입니다. DVWA 에서 했듯이 IP 주소를 입력받는 거라면 입력값이 실제로 IP 주소인지 검증하는 과정이 들어가면 좋습니다. DVWA 의 'impossibl.. 2020. 5. 2. 이전 1 ··· 110 111 112 113 114 115 116 ··· 120 다음 728x90