-
WinDbg #2 워크스페이스 저장하기
워크스페이스가 무엇인가 쉽게 말해 나의 작업 환경이라고 생각하면 된다. 매번 프로그램을 실행할 때마다 구성하면 번거롭기 때문에 내 입맛대로 구성한 GUI 환경을 저장하고, 이후에 사용할 때 불러와서 사용하는 것이다. 어떻게 저장하는가 1. 자기 입맛대로 View를 구상한다. 아래 이미지는 나의 View다. 2. 좌측 상단의 [파일]을 클릭한다. 3. [Save workspace]로 워크스페이스를 저장할 수 있다. 4. 활성화된 [Save workspace]…
-
WinDbg #1 설치하기
WinDbg는 무엇인가 Microsoft에서 공식적으로 제공하는 디버거(Debugger)다. WinDbg는 왜 쓰는가 디버깅, 리버싱 등에 사용한다. 버그를 잡을 수도, 해킹을 할 수도 있다. WinDbg는 어떻게 설치하는가 Windows의 공식 앱 Microsoft Store에서 다운로드가 가능하다. “WinDbg”를 검색하여 설치를 진행하면 된다.
-
Dreamhack CTF Season 7 Round #16: Bookwish
환경 접근 풀이 PoC 코드 결과 POC 코드를 실행하면 3분 정도 기다리면 아래와 같이 플래그를 획득할 수 있다.
-
File Upload 취약점 실습 및 대응 방안
실습 환경 claude code를 이용해 Nginx + Mysql + PHP 8.3으로 구성된 파일 업로드 기능을 가진 웹 서버를 구성한다. 실습 파일을 업로드 할 수 있는 웹 애플리케이션이다. 원격 명령 실행이 가능한 웹 셸 코드를 작성한다. 현재 기술 스택으로는 PHP를 사용하고 있으므로, 악성 스크립트를 PHP로 작성한다. 해당 파일을 [저장] → [업로드] → [접근] 하고, 명령을 실행한다.…
-
File Upload 취약점
File Upload 취약점이란 무엇인가? 웹 애플리케이션에서 파일 업로드 기능을 구현할 때 적절한 검증을 수행하지 않아 발생하는 취약점이다. 공격자가 악성 행위를 할 수 있는 파일을 서버에 업로드하여 시스템 장악이나 정보 탈취를 할 수 있다. 공격 유형 대응 방안
-
Stored XSS 실습 및 대응 방안
실습 환경 claude code를 이용해 생성한 XSS 취약점 테스트용 Flask 서버를 구성한다. 실습 댓글 작성 기능을 가진 웹 애플리케이션이다. [작성자] 혹은 [댓글 내용] 부분에 실행하고 싶은 스크립트를 삽입한다. 실습 과정에서는 경고 창을 띄우는 “alert(1)”을 사용할 것이다. 댓글을 등록하면, 악성 스크립트가 포함된 게시글이 서버 저장소에 저장되어, 해당 댓글을 요청하는 모든 사용자는 악성 스크립트를 실행하게 된다. 실습…
-
Dom based XSS 실습 및 대응 방안
실습 환경 claude code를 이용해 생성한 XSS 취약점 테스트용 Flask 서버를 구성한다. 실습 검색 기능을 하는 웹 애플리케이션이다. URL 입력 창에 [http://192.168.0.100:5000/dom-get?search=<img src=x onerror=”alert(‘DOM based XSS!!’)”>]을 입력하고 접속한다. 그러면 <img> 태그의 자바스크립트가 실행되어 알림창으로 “DOM based XSS!!” 메시지를 출력하게 된다. 취약점이 발생한 이유 클라이언트의 요청으로 서버는 정상적인 페이지를 응답하지만, 클라이언트 측에서 브라우저에 페이지를 렌더링 할…
-
Reflected XSS 실습 및 대응 방안
실습 환경 claude code를 이용해 생성한 XSS 취약점 테스트용 Flask 서버를 구성한다. 실습 검색 기능을 하는 웹 애플리케이션이다. URL 입력 창에 [http://192.168.0.100:5000/reflected?search=<img src=x onerror=”alert(‘Reflected XSS!!’)”>]을 입력하고 접속한다. 그러면 <img> 태그의 자바스크립트가 실행되어 알림창으로 “Reflected XSS!!” 메시지를 출력하게 된다. 취약점이 발생한 이유 클라이언트에서 서버로 전송한 입력 값에 대한 검증을 수행하지 않아 HTML 태그를 허용하고 있다. 그래서…
-
Stored XSS
개요 Stored XSS는 공격자가 삽입한 악성 스크립트가 서버의 데이터베이스나 저장소에 저장된 후, 다른 사용자가 해당 자원을 요청할 때 응답 페이지에 포함되어 브라우저에서 실행되는 취약점이다. 취약점 발생 지점 사용자의 입력 값이 검증 없이 서버의 저장소에 저장되고, 해당 값이 다시 응답에 포함될 때 적절한 인코딩 없이 출력되면 브라우저에서 악성 스크립트가 실행된다. 공격 동작 순서
-
Reflected XSS
개요 Reflected XSS는 악성 스크립트가 담긴 URL이나 입력 값에 포함되어 서버로 전송되고, 서버가 이를 검증 없이 동적 페이지를 구성하여 브라우저로 돌려보낼 때 발생하는 취약점이다. 취약점 발생 지점 사용자의 입력 값을 검증 없이 서버 응답에 포함되어 브라우저로 전달될 때 발생한다. 이때 브라우저가 해당 응답을 해석하면서 악성 스크립트가 실행된다. 공격 동작 순서
-
구독
구독함
이미 WordPress.com 계정을 가지고 계신가요? 바로 로그인하세요.
dolephine homepage 