보안 보안

전체 글

• Dreamhack - xss-2

  wargame/Dreamhack 2024. 2. 7. 18:18

  [LEVEL 1 - xss-2 - web] 문제 환경에 접속해보면 이전 xss-1 문제와 똑같지만 한 가지 다른 점이 있다. /vuln에 가보면 아까 1이라고 뜨던 창이 아예 뜨지 않는다. 태그가 실행이 안되는 것을 알 수 있다. vuln.html을 보면 innerHTML로 처리하기 때문에 자바스크립트가 외부에서 삽입되는 것이 차단되어 있다는 걸 알 수 있다. 문제 해결 위해 필요한 xss 우회 관련 사전 지식이 없어서 공부를 먼저 시작하고 워게임을 풀었다. 우선 iframe 태그는 원래 알고 있던 것이긴 한데, 간단히 설명을 적자면 iframe은 inline frame의 약자로, 현재 렌더링되고 있는 문서 안에 또 다른 페이지를 삽입할 수 있는 기능을 제공한다. xss 우회하는 방법에는 여러 가지가 있..

  Read More
• Dreamhack - xss-1

  wargame/Dreamhack 2024. 2. 7. 16:45

  [LEVEL 1 - xss-1 - web] XSS 취약점을 이용해 플래그를 획득하는 문제이다. 문제 환경에 접속하면 나오는 첫 화면이다. 플래그 값을 얻기 위해서는 /vuln 엔드포인트에서 발생하는 XSS 취약점을 통해 임의 이용자의 쿠키를 탈취해야 한다. 탈취한 쿠키를 전달받기 위해서는 외부에서 접근 가능한 웹 서버를 사용하거나 문제에서 제공하는 memo 엔드포인트를 사용하면 된다. 공격에 사용할 수 있는 속성으로는 location.href(전체 URL 반환 or URL 업데이트할 수 있는 속성값)와 document.cookie(해당 페이지에서 사용하는 쿠키를 읽고 쓰는 속성값)가 있다. memo 페이지를 사용하여 쿠키를 탈취해 보겠다. flag 엔드포인트에서 익스플로잇 코드를 작성하고 제출을 누르면 ..

  Read More
• [삼성SDS] 생성형 AI 시대의 멀티클라우드 전략

  보호글 2024. 2. 6. 23:58

  보호되어 있는 글입니다.

  Read More
• Web Hacking _ Cross-Site-Scripting (XSS)

  보호글 2024. 2. 6. 23:43

  보호되어 있는 글입니다.

  Read More
• Dreamhack - session-basic

  wargame/Dreamhack 2024. 1. 31. 19:04

  [LEVEL 1 - session-basic - web] 이 문제는 쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스이며, admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있다. 문제 파일을 먼저 다운로드 받으면 app.py가 있다. 일단 아까 코드 중 users에 있던 아이디 guest, 비밀번호 guest로 로그인을 해보고 개발자도구를 열었다. 일단 Application 탭의 Cookies로 넘어와 sessionid 값을 복사해서 메모장에 붙여놓고 우클릭해서 삭제해본다. 그런데 아까 코드에 /admin 페이지가 있는 걸 보긴 했는데 들어가보니까 저렇게 admin의 sessionid값도 다 나와있다. admin의 sessionid 값이 필요할테니 이를 메모장에 복사해놓는다. 좀전에 삭..

  Read More
• Dreamhack - cookie

  wargame/Dreamhack 2024. 1. 31. 18:07

  [Beginner - cookie - web] 이 문제는 쿠키로 인증 상태를 관리하는 간단한 로그인 서비스이며, admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있다. 웹해킹 문제 환경에 접속하고 나면 문제 파일을 다운로드 받는다. users에 등록되어 있는 건 guest와 admin 사용자이고, guest의 비밀번호는 guest이며, admin의 비밀번호는 파일에서 읽어온 FLAG인 것을 알 수 있다. 로그인 화면에서 아이디 guest, 비밀번호 guest로 로그인하고 개발자도구를 열어 Application 탭의 Cookies를 보면 Value값이 guest로 바뀐 것을 볼 수 있다. 익스플로잇 하이라이트된 Value값 guest를 admin으로 바꾸어 다시 새로고침을 하면 admin 계정으로..

  Read More
• Web Hacking _ Cookie & Session

  보호글 2024. 1. 31. 08:07

  보호되어 있는 글입니다.

  Read More
• [CIO Korea] 강은성의 보안 아키텍트 | 정보보안 사고 대응과 정보보안 위기 대응

  study/technical study 2024. 1. 30. 23:49

  https://www.ciokorea.com/news/321185 강은성의 보안 아키텍트ㅣ정보보안 사고 대응과 정보보안 위기 대응 가트너가 ‘적응형 보안 아키텍처’(Adaptive Security Architecture)를 처음 발표한 것은 2015년 10월의 일이다. 가트 www.ciokorea.com 위 글을 기반으로 작성했습니다. 가트너가 '적응형 보안 아키텍처'(Adaptive Security Architecture)를 처음 발표한 것은 2015년 10월 '2016년 10대 전략 기술 트렌드'에서 '새로운 IT 현실' 꼭지에 4개 아키텍처의 하나로 이것을 포함 2017년에는 각 조직에 '적응형 보안 아키텍처'를 구축할 것을 제안 보안에서 많이 사용하는 '예방 → 탐지 → 대응'의 보안 프로세스에서..

  Read More
이전
1 ··· 7 8 9 10 11 12 13 ··· 15
다음