'보안 취약점 진단 및 대응' 카테고리의 글 목록

Lab: Exploiting NoSQL operator injection to bypass authentication

Lab: Exploiting NoSQL operator injection to bypass authenticationhttps://portswigger.net/web-security/nosql-injection/lab-nosql-injection-bypass-authentication Lab: Exploiting NoSQL operator injection to bypass authentication | Web Security AcademyThe login functionality for this lab is powered by a MongoDB NoSQL database. It is vulnerable to NoSQL injection using MongoDB operators. To solve the..

format_list_bulleted 보안 취약점 진단 및 대응/Port Swigger:Lab
· 2024. 5. 25.
textsms

Lab: Detecting NoSQL injection

Lab: Detecting NoSQL injectionhttps://portswigger.net/web-security/nosql-injection/lab-nosql-injection-detection Lab: Detecting NoSQL injection | Web Security AcademyThe product category filter for this lab is powered by a MongoDB NoSQL database. It is vulnerable to NoSQL injection. To solve the lab, perform a NoSQL ...portswigger.net NoSQL Injection 취약점 해당 실습은 MongoDB NoSQL 데이터베이스 기반출시되지 않은 제품이..

format_list_bulleted 보안 취약점 진단 및 대응/Port Swigger:Lab
· 2024. 5. 23.
textsms

Lab: Blind OS command injection with output redirection

Lab: Blind OS command injection with output redirectionhttps://portswigger.net/web-security/os-command-injection/lab-blind-output-redirection Lab: Blind OS command injection with output redirection | Web Security AcademyThis lab contains a blind OS command injection vulnerability in the feedback function. The application executes a shell command containing the user-supplied ...portswigger.net리다이..

format_list_bulleted 보안 취약점 진단 및 대응/Port Swigger:Lab
· 2024. 5. 22.
textsms

Lab: Blind OS command injection with time delays

Lab: Blind OS command injection with time delayshttps://portswigger.net/web-security/os-command-injection/lab-blind-time-delays Lab: Blind OS command injection with time delays | Web Security AcademyThis lab contains a blind OS command injection vulnerability in the feedback function. The application executes a shell command containing the user-supplied ...portswigger.net딜레이를 이용한 Blind OS Comman..

format_list_bulleted 보안 취약점 진단 및 대응/Port Swigger:Lab
· 2024. 5. 20.
textsms

Lab: OS command injection, simple case

Lab: OS command injection, simple casehttps://portswigger.net/web-security/os-command-injection/lab-simple Lab: OS command injection, simple case | Web Security AcademyThis lab contains an OS command injection vulnerability in the product stock checker. The application executes a shell command containing user-supplied ...portswigger.netOS command Injection 취약점 whoami 명령을 실행하여 사용자 이름 확인하면 성공제품 및 ..

format_list_bulleted 보안 취약점 진단 및 대응/Port Swigger:Lab
· 2024. 5. 19.
textsms

CSRF 공격

CSRF(Cross-Site Request Forgery; 크로스 사이트 요청 위조)CSRF(Cross-Stie Request Forgery)는 서버에서 요청 주체와 요청 절차를 확인하지 않고 요청을 처리하는 경우 발생할 수 있는 공격입니다. 사용자의 권한으로 요청이 실행되는 취약점입니다.=> 자동 회원가입=> 게시판 자동 글쓰기=> 광고 배너 클릭 예시패스워드 변경요청 changePwForm.jspNew Pw: _______New Pw: _______[change] 패스워드 변경처리 changePwProc.jsp?newpw=(1) 인증(로그인) 여부 확인(2) 처리에 필요한 값 중 사용자가 결정해야 할 값이 전달되었는지 확인(newpw)(3) 처리에 필요한 값 중 시스템이 가지고 있는 값을 추출 -> ..

format_list_bulleted 보안 취약점 진단 및 대응/취약점
· 2024. 5. 9.
textsms

WebGoat(웹고트) Thread Safety Problems

WebGoat(웹고트) Thread Safety Problems (1) Window xp에서 http://victim:8080/WebGoat/attack 사이트로 이동하여 목록에서 Thread Safety Problems을 찾아 이동합니다. (webgoat / webgoat) (2) 브라우저 2개를 띄워서 하나는 jeff, 하나는 dave를 Submit 합니다.=> jeff를 입력하면 jeff의 데이터가 출력되고, dave를 입력하면 dave의 데이터가 출력됩니다.(당연) (3) 브라우저 2개를 띄워서 하나는 jeff, 하나는 dave를 Submit 합니다.dave를 제출하고, 바로 jeff를 제출합니다. 그러면 둘 다 jeff가 출력됨을 확인할 수 있습니다. 이 문제의 취약점=> 이름을 입력하고 Sub..

format_list_bulleted 보안 취약점 진단 및 대응/WebGoat
· 2024. 5. 6.
textsms

DBD(Drive By Download) 공격

DBD(Drive By Download) 공격 취약점 설명 ● Drive By Download의 약자 ● 웹서핑 중 특정 실행파일 다운로드가 진행되는 것 ● 어떤 사이트를 방문했는데 방문한 사이트에서 자신도 모르게 악성파일을 다운로드 받게 되는 것 ● 공격자는 홈페이지를 해킹 후 사용자의 취약점을 익스플로잇(exploit)하는 악성 스크립트와 악성코드를 은닉 ● 취약한 PC 환경의 사용자가 홈페이지에 접속 시 사용자 의도와는 무관하게 악성코드가 다운로드되어 설치되는 공격기법 공격 포인트 웹브라우저의 취약점을 이용한 악성코드 삽입 브라우저에 설치된 플러그인이나 확장 프로그램의 취약점 이용 해킹시나리오 악성코드를 배포하는 유포지를 생성하고 사용자 접속을 유도하는 페이지인 경유지를 생성합니다. 경유지에서 re..

format_list_bulleted 보안 취약점 진단 및 대응/취약점
· 2024. 1. 12.
textsms