TCP/IP 프로토콜 분석

TCP/IP Protocol StackApplication은 TCP계열과 UDP 계열의 서비스가 있습니다. DNS는 tcp, udp 둘 다 되는데 보통 udp로 돌아갑니다.*3계층 Network Layer에 IPv4, IP, ARP, RARP, ICMP로 수정*TCP는 데이터 전송 전에 3-way-handshaking 작업이 진행이 되어야함, 데이터 전송을 끝낼 때 4 -way-handshaking 작업이 진행이 되어야함. Paylaod와 Encapsulationdata에 http 데이터가 들어와 있다고 가정해 봅시다.7,6,5 계층에서 4계층으로 내려옵니다. (payload) payload와 함께 캡슐화 작업이 진행됩니다. http는 tcp계열 서비스이기 때문에 4계층에 TCP 헤더가 붙습니다.4계층에..

• format_list_bulleted 시스템 보안 및 실무/시스템·네트워크 보안
• · 2024. 2. 13.
• textsms

SSRF(Server Side Request Forgery) 공격

SSRF(Server Side Request Forgery)란? SSRF는 웹 애플리케이션의 서버 측에서 다른 서버로의 요청을 조작할 수 있는 공격을 의미합니다. Server Side에서 이루어지는 요청을 변조하여 공격자가 의도한 서버로 임의의 요청을 할 수 있는 공격입니다. 일반적으로 기업들은 특정 웹서버만 외부에 공개하며, 조직 내부적으로 사용하는 서버는 방화벽으로 차단합니다. SSRF는 다양한 보안 문제를 야기할 수 있으며, 예를 들어 내부 네트워크 리소스에 접근하거나, 인증 정보를 탈취하거나, 외부 서비스를 악용하는 데 사용될 수 있습니다. 취약점 예제 1) 공격자는 SSRF 취약점이 존재하는 웹서버에서 내부 서버 자원 요청 2) 취약한 웹서버는 공격자로부터 받은 내부서버로의 자원 요청을 수행 3..

• format_list_bulleted 모의해킹
• · 2024. 2. 5.
• textsms

XSS 공격 실습(Reflected, Stored, DOM)

XSS란? [보안 취약점 진단 및 대응/취약점] - XSS/CSRF 공격 XSS/CSRF 공격 XSS와 CSRF XSS 공격은 Cross Site Scripting의 약자로, 웹 애플리케이션에서 많이 나타나는 취약점 중 하나입니다. 공격자가 웹페이지에 악성스크립트를 삽입하는 공격입니다. [XSS 종류] ▷ Reflected XSS: psjin230.tistory.com [모의해킹] - XSS(Cross Site Scripting) 공격 XSS(Cross Site Scripting) 공격 XSS(Cross Site Scripting)란? [보안 취약점 진단 및 대응/취약점] - XSS/CSRF 공격 XSS/CSRF 공격 XSS와 CSRF XSS 공격은 Cross Site Scripting의 약자로, 웹 애..

• format_list_bulleted 모의해킹
• · 2024. 2. 5.
• textsms

XSS(Cross Site Scripting) 공격

XSS(Cross Site Scripting)란? [보안 취약점 진단 및 대응/취약점] - XSS/CSRF 공격 XSS/CSRF 공격 XSS와 CSRF XSS 공격은 Cross Site Scripting의 약자로, 웹 애플리케이션에서 많이 나타나는 취약점 중 하나입니다. 공격자가 웹페이지에 악성스크립트를 삽입하는 공격입니다. [XSS 종류] ▷ Reflected XSS: psjin230.tistory.com XSS는 사용자 입력 값을 충분히 검증하지 않았을 때 발생하는 취약점으로, 웹페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도하는 취약점입니다. 모의해킹/취약점 진단 시 가장 높은 비율로 탐지 됩니다. ▷Reflected XSS(반사형 XSS) : 공격자가 작성한 스크립트 코드가 별도..

• format_list_bulleted 모의해킹
• · 2024. 2. 4.
• textsms

Blind SQL INJECTION(Login)

SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blind...) SQL Injection Injection(삽입)은 외부 입력값을 내부처리에 사용하는 경우, 외부 입력값 처리를 조작하는 문자열 포함 여부를 확인하지 않고 사용하는 경우 또는 원래 의도했던 처리가 변경되어 수행 psjin230.tistory.com [모의해킹] - Blind SQL Injection Blind SQL Injection SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blin..

• format_list_bulleted 모의해킹
• · 2024. 2. 1.
• textsms

Blind SQL Injection

SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blind...) SQL Injection Injection(삽입)은 외부 입력값을 내부처리에 사용하는 경우, 외부 입력값 처리를 조작하는 문자열 포함 여부를 확인하지 않고 사용하는 경우 또는 원래 의도했던 처리가 변경되어 수행 psjin230.tistory.com Blind SQL Injection Blind는 쿼리 실행 결과가 화면에 표시되지 않아서 직접적으로 확인할 수 없다는 의미를 가지고 있습니다. Blind SQL Injection은 사용자 입력값으로 악의적인 SQL 쿼리를 삽입하여 데이터베이스에서 민감한 정보를 추출하지만..

• format_list_bulleted 모의해킹
• · 2024. 2. 1.
• textsms

Error Based SQL Injection

SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blind...) SQL Injection Injection(삽입)은 외부 입력값을 내부처리에 사용하는 경우, 외부 입력값 처리를 조작하는 문자열 포함 여부를 확인하지 않고 사용하는 경우 또는 원래 의도했던 처리가 변경되어 수행 psjin230.tistory.com Error Based SQL Injection Error Based SQL Injection은 사용자 입력값으로 악의적인 SQL 쿼리를 삽입하여 데이터베이스에서 발생하는 오류 메시지를 통해 민감한 정보를 추출하는 공격입니다. 주로 웹 애플리케이션이 데이터베이스 오류 메시..

• format_list_bulleted 모의해킹
• · 2024. 1. 31.
• textsms

Union SQL Injection

SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blind...) SQL Injection Injection(삽입)은 외부 입력값을 내부처리에 사용하는 경우, 외부 입력값 처리를 조작하는 문자열 포함 여부를 확인하지 않고 사용하는 경우 또는 원래 의도했던 처리가 변경되어 수행 psjin230.tistory.com SQL Injection은 외부 입력값에 쿼리 조작 문자열 포함 여부를 확인하지 않고 쿼리문 생성 및 실행에 사용하는 경우, 쿼리의 구조와 의미가 변경되어 실행되는 것을 뜻합니다. 권한 밖의 데이터에 접근이 가능하고, DBMS 시스템의 제어권을 탈취할 수 있으며, 쿼리를..

• format_list_bulleted 모의해킹
• · 2024. 1. 31.
• textsms