정보보안11 CSRF CSRF이란?CSRF는 관리자의 브라우저가 특정 웹 페이지로 공격자가 원하는 요청을 보내도록 유도하는 취약점이다. 2008년에 발생한 옥션의 개인정보 유출사건도 이 방법을 통한 관리자 계정 탈취 방법에도 사용된 기법으로, 공격의 난이도가 높지 않아 널리 사용되는 방법 중 하나이다. XSS와 차이점XSS클라이언트가 피해 대상으로 주로 공격 대상 사이트의 내부 페이지에서 일어난다.쿠키 및 세션 등 관리자의 정보 탈취, 악성페이지로 유도해 2차 피해 유발을 위해서 주로 사용되는 공격이다.XSS는 사용자의 입력 값 및 페이지 출력 값을 검증하지 않아 페이지 로드 시 악의적인 스크립트가 실행되는 것으로, 악의적인 스크립트를 작성하고 이것을 페이지에 포함시킨 후 실행을 유도하는 공격이다.스크립트 실행 불가 시 공격.. 2024. 8. 25. XSS XSS(크로스 사이트 스크립트)이란?XSS(크로스 사이트 스크립팅)은 웹 페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도하는 취약점으로, 모의해킹/소스코드 진단 시 가장 높은 비율로 탐지되는 취약점이다. XSS가 많이 탐지되는 취약점인 이유는 공격하기 쉽고 광범위한 곳에서 발생할 수 있지만, 완벽하게 방어하기는 어렵기 때문이다. 실습 1 - 을 이용한 XSS보통 XSS 공격은 정상적인 URL 주소(/q3/#1) 뒤에 " '> "를 작성하여 img 소스 작성을 완료시켜주고, 그 뒤에 를 작성하여 변경된 html 소스 코드를 적용시키면 아래와 같이 alert창이 실행되는 것을 확인할 수 있다. 실습 4 - 파라미터 변조를 이용한 XSS (JS 코드 조작) 위의 페이지는 /q4에서 입력창에 .. 2024. 8. 25. Blind SQL Injection Blind SQL Injection이란?AND 연산자를 이용하여 작성된 서브 쿼리가 True이면 결과가 보이고, False이면 결과가 보이지 않아 이를 바탕으로 데이터를 탈취할 수 있는 SQL Injection이다. 실습Oracle 데이터베이스의 DB 사용자명을 알아내는 것이 이번 실습의 목표이다. [ Oracle SQL Injection에 사용되는 대표적인 SQL 명령어가 정리되어 있는 사이트 ]https://pentestmonkey.net/cheat-sheet/sql-injection/oracle-sql-injection-cheat-sheet Oracle SQL Injection Cheat Sheet | pentestmonkeyOracle SQL Injection Cheat Sheet Some use.. 2024. 8. 25. Error-based SQL Injection Error-based SQL Injection이란SQL문을 작성 및 실행하여 발생한 에러 메시지에 원하는 데이터를 함께 출력하게 하여 데이터를 탈취하는 기법으로, 한번에 하나의 데이터만 출력할 수 있어 UNION SQL Injection보다는 번거로운 부분이 있지만 마찬가지로 데이터베이스에 직접 접근하여 중요 데이터를 탈취할 수 있다는 점에서 위험한 취약점 공격 중 하나이다.Error-based SQL Injection은 서브쿼리에서 실행한 데이터를 1개씩 밖에 확인 할 수 없기 때문에 원하는 데이터를 찾아내기 위해서는 데이터가 몇 개인지, 원하는 데이터는 어떻게 정렬해서 뽑을지 알아야 한다. 예시Step1. 데이터 개수 출력하기해당 웹사이트는 모의해킹을 위해 만들어진 가상의 웹사이트이며, 따라서 출력된.. 2024. 8. 19. Union SQL Injection Union SQL Injection이란?SQL문의 UNION 함수를 이용하여 데이터베이스에서 정보를 빼내는 SQL Injection 공격 중 하나이다.정상적으로 입력창에 입력한 뒤 출력된 결과 + union으로 추가로 요구한 데이터베이스 정보가 함께 출력되어 주요 데이터가 유출되기에 굉장히 위험하면서도 기초적인 취약점 진단 내용 중 하나이다. 예시어떠한 웹페이지에 주소 '동'을 입력하여 검색한 결과 해당 동에 맞는 우편번호를 출력하는 기능이 있다고 가정할 때, 해당 검색을 통해 데이터베이스에서 정보를 가져오는 코드는 아래와 같으며, DB는 Oracle로 되어 있다고 가정한다. 아래의 실습은 실제 상용화되어 있는 웹페이지가 아닌, 모의해킹을 위해 만들어진 가상의 웹사이트를 가지고 실행한 실습으로 출력된 데.. 2024. 8. 19. 최근 사이버 공격 5가지 위 포스트는 보안뉴스의 김경애 기자님이 작성하신 [최근 사이버 공격 위협 5가지... 대부분 금전 탈취 목적]를 보고 이를 바탕으로 최신 보안 동향을 작성한 글입니다.https://m.boannews.com/html/detail.html?tab_type=1&idx=130809 최근 사이버 공격 위협 5가지... 대부분 금전 탈취 목적기업의 사이버 보안 침해사고가 지속적으로 증가하고 있다. 한국인터넷진흥원(이하 KISA)에 따르면 2020년 630건에서 2021년 640건, 2022년 1142건, 2023년 1,227건으로 급증하는 추세다. 이는 기업의 미인m.boannews.com 한국인터넷진흥원(이하 KISA)에 따르면 2020년 630건에서 2021년 640건, 2022년 1142건, 2023년 1,.. 2024. 6. 30. 이전 1 2 다음
