![]()
❓ 공격 개요 CAPTCAH 란? > CAPTCHA는 HIP 기술의 일종으로, 어떠한 사용자가 실제 사람인지 컴퓨터 프로그램인지를 구별하기 위해 사용되는 방법이다. 사람은 구별할 수 있지만 컴퓨터는 구별하기 힘들게 의도적으로 비틀거나 덧칠한 그림을 주고 그 그림에 쓰여 있는 내용을 물어보는 방법이 자주 사용된다. > 주로 봇을 이용한 사이트 아이디 자동생성 방지, 광고성 게시물 방지, 계정 해킹(Brute Force 공격) 등을 막기위해 사용된다. 💻 실습 Insecure CAPTCHA 의 메인화면 이다 패스워드 변경폼에 CAPTCHA 가 추가되었다. CAPTCHA 를 무시하고 변경을 요청하면 다음과 같이 CAPTCHA 가 틀렸다며 실패문구가 출려된다 CAPTCHA 인증이 어떻게 이루어 지는지 알아보기 ..
![]()
❓ 공격 개요 File upload 공격 개요 > File uploade 취약점은 파일을 업로드하는 기능에 적절한 보안 대책이 적용되지 않을때 발생한다. > 파일을 첨부할 수 있는 게시판에서 웹쉘(Web Shell)이라는 악성 파이을 업로드 하여 시스템으로 침투해 들어갈 수 으며 Command Injection 과 같이 웹 페이지를 통해 시스템 명령어를 내릴 수 있다. 💻 실습 File upload 메뉴의 메인화면이다 업로드할 image 파일을 선택하라는 문구가 보인다 파일을 선택할 수 있는 버튼과 업로드 버튼이 보인다. 대부분의 사용자는 게시판 형식에 맞는 확장자의 파일을 업로드 할테지만 공격자는 공격을 위한 다른 확장자들도 업로드해 보려고 시도할 것이다 이제 실습을 해보자 php 로 웹쉘 파일을 만들..
![]()
❓ 공격 개요 FIle Inclusion 공격 개요 > File Inclusion 공격은 주로 PHP 애플리케이션을 대상으로 발생한다. > PHP는 인클루드 기능을 제공하는데 include() 함수를 이용하여 다른 파일을 소스코드에 직접 포함시킬 수 있는 기능이다. > 인클루드할 수 있는 파일의 위치에 따라 LFI 와 RFI로 구분된다. 🔴 LFI(Local File Inclusion) > LFI 취약점을 이용한 공격 방식은 서버 내(로컬) 파일에 접근하는 공격 방식이다. 예를 들어 서버 디렉토리 안에 WebShell을 업로드 한후 File Inclusion 취약점이 있는 페이지를 통해 WebShell을 실행 시킬 수 있고, 서버내에 중요 파일까지 접근을 할수 있다. 🔴 RFI(Remote File In..
![]()
❓ 공격 개요 CSRF(Cross Site Request Forgery) 공격 개요 CSRF 공격은 공격자가 피싱을 이용하여 공격 대상이 되는 사용자에게 악성 링크를 누르게 하고, 링크를 클릭하면 사용자가 의도하지않은 웹사이트의 기능을 실행하는 것이다. XSS 와 유사하지만 XSS는 공격대상이 Client 이지만 CSRF 는 공격대상이 Server 인점이 다르다. 또한 CSRF 공격이 성공적으로 이루어지기 위해서는 공격대상이 웹사이트에 로그인 상태로 유지되어야 한다 💻 실습 CSRF 의 메인화면이다 password 변경폼이 보인다. Burpsuite 로 요청메시지를 확인해보자 Change 버튼을 눌렀을때 요청 메시지를 살펴보면 GET 메소드로 요청이 전송되며, password_new, password_c..
