목록2023/12 (30)

Oh! JUN

[자격증] 2023년 정기 기사 4회 정보보안기사 불합격

자격증/정보보안기사 2023. 12. 28. 00:12
[자격증] 2023년 정기 기사 2회 정보보안기사 불합격

아나
자격증/정보보안기사 2023. 12. 28. 00:09
[자격증] 2023년 정기 기사 1회 정보처리기사 최종합격(23.06.09)

보통 1회차 시험이 쉬운거 같아요 (1회차 때 정보보안기사 봤어야 했는데...)
자격증/정보처리기사 2023. 12. 28. 00:05
[WebGoat] Cross Site Request Forgeries - 3

1. 문제설명 CSRF 및 Content-Type 이전 섹션에서 우리는 Content-Type 에 의존하는 것이 CSRF에 대한 보호가 아니라는 것을 보았습니다. 이 섹션에서는 CSRF로부터 보호되지 않는 API에 대해 CSRF 공격을 수행할 수 있는 또 다른 방법을 살펴보겠습니다. 이 과제에서는 다음 JSON 메시지를 엔드포인트에 게시해야 합니다. 2. 문제풀이 name, email, subject, message에 dummy값 넣어서 burp로 요청을 캡쳐해서 살펴봤습니다. Content-Type : application/Json로 되어있는걸로 봐서 Content-Type을 변경해서 CSRF공격을 수행하는것 같습니다. Content-Type을 enctype="text/plain"로 변경해주고 JSON..
웹 해킹/Request Forgeries(CSRF) 2023. 12. 23. 17:14
[WebGoat] Cross Site Request Forgeries - 2

1. 문제설명 다른 사람을 대신하여 리뷰 게시 아래 페이지는 댓글/리뷰 페이지를 시뮬레이션합니다. 여기서 차이점은 CSRF 공격과 마찬가지로 이전 연습과 마찬가지로 다른 곳에서 제출을 시작해야 한다는 것입니다. 생각보다 쉽습니다. 대부분의 경우 더 까다로운 부분은 CSRF 공격을 실행하려는 위치를 찾는 것입니다. 전형적인 예는 누군가의 은행 계좌로의 계좌/전신 송금입니다. 하지만 여기서는 간단하게 설명하겠습니다. 이 경우 현재 로그인한 사용자를 대신하여 리뷰 제출을 실행하기만 하면 됩니다. 2. 문제풀이 이전 문제와 해결방법은 거의 똑같습니다. 하지만 stars의 값의 데이터형과 validataReq값을 올바르게 설정해줘야 문제를 해결할 수 있습니다. 이전 문제와 동일하게 코드를 생성하고 댓글을 달면 문..
웹 해킹/Request Forgeries(CSRF) 2023. 12. 23. 15:36
[WebGoat] Cross-Site Request Forgeries - 1

1. 문제설명 기본 CSRF 가져오기 연습 로그인한 동안 외부 소스에서 아래 양식을 트리거합니다. 응답에는 '플래그'(숫자 값)가 포함됩니다. 플래그 확인 아래 이전 페이지에서 획득했어야 하는 플래그를 확인하세요. 2. 풀이 제출 버튼을 클릭하면 [그림 - 1]와 같은 응답값을 확인할 수 있습니다. 메시지를 살펴보면, "요청이 원래 호스트로 부터 온것으로 나타난다" 문구를 확인할 수 있고 결과적으로 실패한것을 확인할 수 있습니다. 그렇다면, 해당 문제를 해결하기 위해서는 요청이 원래의 호스트가 아닌 타 호스트로 부터 오도록 설정해줘야 합니다. 제출 버튼을 누르면 요청을 보내는 주소와 요청방식을 동일하게 "http://127.0.0.1:5555/WebGoat/csrf/basic-get-flag"와 POST..
웹 해킹/Request Forgeries(CSRF) 2023. 12. 23. 00:19
[WebGoat] Cross Site Scripting - 5

1. 신뢰할 수 있는 웹사이트는 XSS 공격으로부터 안전합니까? 해결 방법 1: 예, 브라우저는 실행 전에 코드를 확인하므로 안전합니다. 해결 방법 2: 그렇습니다. Google에는 악성 코드를 차단하는 알고리즘이 있기 때문입니다. 해결 방법 3: 아니요. 실행되는 스크립트가 브라우저의 방어 알고리즘을 뚫기 때문입니다. 해결 방법 4: 아니요. 신뢰할 수 있는 것으로 확인된 경우 브라우저는 해당 웹 사이트를 신뢰하기 때문에 브라우저는 스크립트가 악성이라는 것을 알지 못합니다. 2. XSS 공격은 언제 발생합니까? 해결 방법 1: 데이터는 신뢰할 수 있는 소스를 통해 웹 애플리케이션에 입력됩니다. 해결 방법 2: 데이터는 웹사이트를 통해 브라우저 애플리케이션에 입력됩니다. 해결 방법 3: 악성 콘텐츠인지 ..
웹 해킹/Cross-Site Scripting(XSS) 2023. 12. 21. 23:41
[WebGoat] Cross Site Scripting - 4 (Break Point 활용)

Try it! DOM 기반 XSS 일부 공격은 "블라인드"입니다. 다행히 여기에서 서버가 실행 중이므로 성공 여부를 알 수 있습니다. 방금 찾은 경로를 사용하고 WebGoat에서 내부 기능을 실행하기 위해 인코딩 없이 경로의 매개변수를 반영한다는 사실을 사용할 수 있는지 확인하세요. 실행하려는 기능은 ...​ webgoat.customjs.phoneHome() 물론 콘솔/디버그를 사용하여 트리거할 수 있지만 새 탭에서 URL을 통해 트리거해야 합니다. 일단 트리거하면 후속 응답이 임의의 숫자와 함께 브라우저 콘솔에 표시됩니다. 아래에 임의의 숫자를 입력하세요. 1. 콘솔 이전 문제 참고해서 http://127.0.0.1:5555/WebGoat/start.mvc#test/%3Cscript%3Ewebgoat..
웹 해킹/Cross-Site Scripting(XSS) 2023. 12. 21. 23:28
이전 Prev 1 2 3 4 Next 다음