![]()
서버의 네트워크 공격 표면 (attack surface)공격 표면 : 해커가 네트워크 또는 민감한 데이터에 무단으로 access 하거나, 사이버 공격을 수행하는 데 사용할 수 있는 취약성, 경로 또는 방법(공격 벡터라고도 함)의 총합1) 물리적으로 (USB) 2) 지근거리로부터(wifi, bluetooth) 3) 원거리에서(TCP/IP) 닿을 수 있음특히 공격자인 원격 client는 server의 IP주소, TCP 포트를 지정하는 것만으로 원격 프로세스에 접근 가능! Attack Surface Management (ASM)- 조직의 공격 표면을 구성하는 사이버 보안 취약점 및 잠재적 공격 벡터를 지속적으로 발견, 분석, 우선순위 지정, 수정 및 모니터링을 수행하는 일련의 과정- 방어자의 관점이 아닌 전..
![]()
드디어 드림핵의 웹해킹 basic 부터 advanced client side & server side를 모두 학습 완료하였다!와~~~~!!!! 사실 티스토리를 판지 얼마 안되어서 지금까지 계속 노션으로 공부한 것들을 기록해뒀기에 이렇게라도 인증을...ㅎㅎ공부를 하면서 느낀건데 정말 웹해킹이라고 쉬운게 아니라 오히려 web 프레임워크와 신기술이 빠르게 만들어짐에 따라 배워야 할 웹해킹 기술들도 기하급수적으로 늘어나는 것을 체감할 수 있었다..(시스템 해킹으로부터 도망친 곳에는 낙원이 없다는 말) 물론 드림핵이 전부가 아니고 정말 기초중에 기초일 뿐이며 심지어 공부했던 모든 내용들을 다 기억하고 있는 것도 아니지만, client side와 server side를 둘 다 공부하면서 특히 개인적으로 server..
![]()
This lab contains a DOM-clobbering vulnerability. The comment functionality allows "safe" HTML. To solve this lab, construct an HTML injection that clobbers a variable and uses XSS to call the alert() function. 현재 해당 블로그의 댓글 기능은 "안전한" HTML 을 허용한다는 것을 보니, 아마 댓글창에 익스 코드를 삽입하는 문제인 것 같다. 변수를 clobber하여 XSS로 alert() 함수를 호출하는 DOM clobbering 문제이다. 저번 문제와 달리 practitioner가 아니라 expert 문제라서 훨씬 어려웠는데, 구글링 해..
![]()
This lab demonstrates a DOM-based redirection vulnerability that is triggered by web messaging. To solve this lab, construct an HTML page on the exploit server that exploits this vulnerability and calls the print() function. web messaging에 의해 발현되는 DOM 취약점을 보여주는 문제이다.해당 취약점을 활용해서 print() 함수를 호출하는 HTML 페이지를 익스플로잇 서버에 올리라고 한다. 먼저 문제의 블로그 사이트를 탐색해보자. 더보기 ..
![]()
출제를 위해 DOM 개념을 좀 더 연구해보고자 기초문제부터 차근 차근 풀어보려고 한다.web security academy 사이트 문제는 한국인이 써놓은 글이 많이 없길래 내가 써보려고 함.... This lab demonstrates a simple web message vulnerability. To solve this lab, use the exploit server to post a message to the target site that causes the print() function to be called. print() 함수가 호출되도록 익스플로잇 서버를 사용해서 타겟 사이트로 메시지를 포스팅하라고 한다. 메인 페이지는 위와 같이 생겼다F12로 코드를 살펴보자. 코드를 살펴보다 보..
![]()
[Burp Suite]란?- 프록시(Proxy)를 사용하여 네트워크에서 통신하는 패킷을 가로채 사용자가 원하는 분석 및 조작 그리고 확인 등을 할 수 있게 도와주는 툴- 그 외에도 다양한 기능을 이용해 취약점을 찾는 용도로도 사용아래 사이트에서 버프 스위트를 다운로드 할 수 있다.https://portswigger.net/burp/communitydownload Download Burp Suite Community Edition - PortSwiggerBurp Suite Community Edition is PortSwigger's essential manual toolkit for learning about web security testing. Free download.portswigger.net..
