![]()
https://reversecore.com/104 "리버싱 핵심 원리" 소스 코드와 실습 예제 파일입니다. (2021.07.08) github.com 에도 제 계정을 생성하여 소스코드 및 실습예제를 올렸습니다. github 에 익숙하신 분들께서는 이곳을 이용하시면 됩니다. https://github.com/reversecore/book 1. 소스 코드 (ver 1.0.2) * 암 reversecore.com 1. Hello World 프로그램 Release 모드로 HelloWorld.exe 를 만들어 보자( Release 모드로 컴파일하면 코드가 간결해져 디버깅하기 편하다) //HelloWorld.cpp #include "windows.h" #includ..
![]()
1. 리버스 엔지니어링 Reverse Engineering, RE: 역공학 물건이나 기계장치 혹은 시스템 등의 구조, 기능, 동작등을 분석하여 원리를 이해하며 단점을 보완하고 새로운 아이디를 추가하는 일련의 작업 2. 리버스 코드 엔지니어링 Reverse Code Engineering, RCE 소프트웨어 분야의 역공학 2.1 리버싱 분석방법 ● 정적분석 파일의 겉모습을 관찰하여 분석하는 방법 → 파일을 실행시키지 않고 분석한다. 파일의 내용확인 : 파일의 종류, 크기 헤더(PE)정보, Import/Export API, 내부분자열, 실행 압축여부, 등록정보, 디버깅정보, 디지털인증서, etc... 디스어셈블러(Disassembler)을 이용해서 내부 코드와 구조를 확인 ● 동적분석 파일을 직접 실행시킨 후..
![]()
❓ 공격 개요 Stored XSS 공격 개요 > Stored XSS 공격은 사용자이 웹 브라우저에서 실행되는 것은 다른 XSS 공격과 동일하지만 Reflected XSS 와같이 스크립트가 요청을 전송한 시점에 바로 반사되는 것이 아니라 웹 서버에 저장되었다가 실행되는 차이점이 있다. > 웹서버에 저장되기 때문에 피싱과정이 필요 없고, 해당 페이지를 접속하는 모든 사용자가 공격당할 수 있기 때문에 다른 XSS 공격들에 비해 피해가 훨씬 더 심각하다 💻 실습 Stored XSS 실습페이지 메인화면이다 방명록이 구현되어 있고 이름과 메세지를 남길 수 있도록 되어있다 메시지부분에 쿠키값을 출력하는 스크립트를 삽입해보자 다음과 같이 악성스크립트가 담긴 게시글이 저장되었다 방명록에 글이 남겨졌기 때문에 다른 메뉴를..
![]()
❓ 공격 개요 Reflected xss 공격 개요 > Reflected xss 공격은 요청메시지에 입력된 스크립트 코드가 즉시 응답 메시지를 통해 출력되는 취약점이다 > 공격자는 사용자가 Reflected XSS 공격에 유도될 수 있도록 이메일, 게시판, SNS 등 공격자가 링크를 남길 수 있는 곳이라면 어디든 피싱을 한다. 사용자가 공격자가 남겨놓은 악성 링크를 클릭하게 되면 공격 스크립트 코드가 삽입된 사이트로 이동하게 되고 입력된 스크립트가 반사되어 그대로 웹사이트에 출력된다. 💻 실습 Reflected XSS 실습페이지의 메인이다 이름을 물어보는 폼이 표시되어있다 test를 입력해보자 Hello 뒤에 test 가 출력되었다. 이와 같이 사용자가 입력한 값을 그대로 출력하는경우 Reflected X..
