WebGoat(웹고트) Exploit Hidden Fields

WebGoat(웹고트) Exploit Hidden Fields

WebGoat(웹고트) Exploit Hidden Fields 실습 (1) Window xp에서 http://victim:8080/WebGoat/attack 사이트에 접속합니다. (webgoat / webgoat) (2) 목록에서 Exploit Hidden Fields를 찾아 이동합니다. 해당 페이지에서 사용자가 입력해야하는 값을 확인합니다. 물건을 구입하기 위해서는 모델명, 가격, 수량, 금액이 필요합니다. 그 중 사용자 입력이 필요한 값은 수량입니다. (3) 사용자 입력값이 서버로 전달되는 과정을 확인합니다. => 개발자도구 또는 소스보기를 통해 확인 가능 => 서버로 전달될 때 QTY=1&SUBMIT=Purchase&Price=2999.99로 전달 => 입력창, 버튼, 히든필드 값이 서버로 전달되는..

  • format_list_bulleted 보안 취약점 진단 및 대응/WebGoat
  • · 2023. 12. 15.
  • textsms
SQL Injction 취약점을 이용한 인증과정 우회

SQL Injction 취약점을 이용한 인증과정 우회

SQL Injection 취약점 - 외부 입력값에 쿼리 조작 문자열 (# ') 포함 여부를 확인하지 않고 쿼리문 생성 및 시행에 사용하는 경우 - 쿼리의 구조와 의미가 변형되어 실행되는 취약점 원래는 ID(식별정보)와 PW(인증정보)를 비교하여 로그인을 해야하는데, 쿼리의 구조와 의미가 변형되면 ID(식별정보)만으로도 로그인이 가능해집니다. 예상되는 문제점 - 권한 밖의 데이터 접근 가능 - 해당 데이터베이스가 동작하는 서버를 원격에서 조작 가능(서버의 제어권 탈취) - 해당 쿼리를 통해 제공하는 기능을 우회 또는 오용하는 것이 가능 #1 사용자 계정을 모르는 상태로 로그인 시도 (1) Window xp에서 http://victim:8080/openeg사이트에 접속하여 임의 값을 넣어 로그인을 해봅니다...

  • format_list_bulleted 보안 취약점 진단 및 대응/openeg
  • · 2023. 12. 14.
  • textsms
가상환경에서 취약점 공격을 하기 위한 실습환경 구성

가상환경에서 취약점 공격을 하기 위한 실습환경 구성

실습환경 구성 [Kali Linux] 애플리케이션 취약점을 점검하거나, 그 취약점을 이용한 공격을 하기 위한 도구들을 모아놓은 것입니다. 다운로드: https://www.kali.org/get-kali/#kali-virtual-machines Get Kali | Kali Linux Home of Kali Linux, an Advanced Penetration Testing Linux distribution used for Penetration Testing, Ethical Hacking and network security assessments. www.kali.org [Bee-Box] bWAPP이 설치된 가상머신으로, 웹 애플리케이션의 취약점들을 테스트해볼 수 있도록 만들어 놓은 것입니다. 다운로드: ..

  • format_list_bulleted 보안 취약점 진단 및 대응/취약점
  • · 2023. 12. 14.
  • textsms
Lab: SQL injection vulnerability allowing login bypass

Lab: SQL injection vulnerability allowing login bypass

Lab: SQL injection vulnerability allowing login bypasshttps://portswigger.net/web-security/sql-injection/lab-login-bypass Lab: SQL injection vulnerability allowing login bypass | Web Security AcademyThis lab contains a SQL injection vulnerability in the login function. To solve the lab, perform a SQL injection attack that logs in to the application as ...portswigger.net SQL Injection 로그인 우회 관리자 ..

  • format_list_bulleted 보안 취약점 진단 및 대응/Port Swigger:Lab
  • · 2023. 12. 14.
  • textsms
SQL Injection 공격

SQL Injection 공격

SQL Injection SQL Injection은 OWASP Injection 공격 중 한 형태로, RDBMS(관계형 데이터베이스)에서 나올 수 있는 공격입니다. => OWASP는 The Open Web Application Security Project의 약자로, 오픈소스 웹 애플리케이션 보안 프로젝트입니다. => 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 10대 웹 애플리케이션의 취약점을 발표합니다. => Oracle/Mysql/MSSQL/ProstgreSQL... [SQL Injection 종류] ▷ Boolean Based SQL Injection: 쿼리 요청 시 응답 값의 참/거짓 반응을 통해 DB 결과 조회 ▷ Error Based SQL Injection..

  • format_list_bulleted 보안 취약점 진단 및 대응/취약점
  • · 2023. 12. 14.
  • textsms
Lab: Exploiting XSS to perform CSRF

Lab: Exploiting XSS to perform CSRF

Lab: Exploiting XSS to perform CSRFhttps://portswigger.net/web-security/cross-site-scripting/exploiting/lab-perform-csrf Lab: Exploiting XSS to perform CSRF | Web Security AcademyThis lab contains a stored XSS vulnerability in the blog comments function. To solve the lab, exploit the vulnerability to perform a CSRF attack and change ...portswigger.net Stored XSS 공격 및 CSRF 공격 구문 작성 CSRF는 XSS 공격의 ..

  • format_list_bulleted 보안 취약점 진단 및 대응/Port Swigger:Lab
  • · 2023. 12. 14.
  • textsms
Lab: Reflected XSS into a JavaScript string with single quote and backslash escaped

Lab: Reflected XSS into a JavaScript string with single quote and backslash escaped

Lab: Reflected XSS into a JavaScript string with single quote and backslash escapedhttps://portswigger.net/web-security/cross-site-scripting/contexts/lab-javascript-string-single-quote-backslash-escaped Lab: Reflected XSS into a JavaScript string with single quote and backslash escaped | Web Security AcademyThis lab contains a reflected cross-site scripting vulnerability in the search query trac..

  • format_list_bulleted 보안 취약점 진단 및 대응/Port Swigger:Lab
  • · 2023. 12. 13.
  • textsms
Lab: DOM XSS in innerHTML sink using source location.search

Lab: DOM XSS in innerHTML sink using source location.search

Lab: DOM XSS in innerHTML sink using source location.search Lab: DOM XSS in innerHTML sink using source location.search | Web Security Academy (portswigger.net) Lab: DOM XSS in innerHTML sink using source location.search | Web Security Academy This lab contains a DOM-based cross-site scripting vulnerability in the search blog functionality. It uses an innerHTML assignment, which changes the HTML..

  • format_list_bulleted 보안 취약점 진단 및 대응/Port Swigger:Lab
  • · 2023. 12. 13.
  • textsms