beebox์ค์ต
-
์ด๋ฒ ํฌ์คํ ์ 'User-Agent' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋์ด๋ ํ ํ์ด์ง ์ ์ ์ด ํ์ด์ง๋ ์ ์ํ ์น ๋ธ๋ผ์ฐ์ ์ ์ ๋ณด๊ฐ ์ ์ฅ๋ 'User-Agent' ํค๋ ๊ฐ์ ํ ์ด๋ธ ํํ๋ก ์ถ๋ ฅํ๋ค. ์ฒซ ํ๋ฉด ํ ์ด๋ธ์๋ ์ต๊ทผ ์ ์ํ ์์๋๋ก 3๊ฐ๊น์ง๋ง ์ถ๋ ฅํ๋๋ฐ, ์ ํ๋ฉด์ download๋ผ๋ ์งํ ๊ธ์จ๋ฅผ ํด๋ฆญํ๋ฉด ์ ์ํ ๋ชจ๋ ์ ๋ณด๋ฅผ ๋ค ์ถ๋ ฅ์ํจ๋ค. ์ฌ๋ฌ๋ฒ ์ ์์ ๊ธฐ๋ก์ด ๋จ์. ๋ฒํ ์ค์ํธ๋ฅผ ์ด์ฉํ์ฌ user-agentํค๋์ ์คํฌ๋ฆฝํธ ์ฝ๋๋ฅผ ์ ๋ ฅํ์ฌ ํ ์ด๋ธ์ ์คํฌ๋ฆฝํธ๋ฅผ ์ ์ฅํ๋ xss๊ณต๊ฒฉ์ ์ํํด ๋ณด๊ฒ ๋ค. ์์ฒญ ํจํท์ ์ก์๋ง์ ํ์ธํ ๊ฒ ์ ์ฌ์ง์ฒ๋ผ ์๋ ์๋ ๋ชจ..
[Bee-box] User-Agent์ด๋ฒ ํฌ์คํ ์ 'User-Agent' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋์ด๋ ํ ํ์ด์ง ์ ์ ์ด ํ์ด์ง๋ ์ ์ํ ์น ๋ธ๋ผ์ฐ์ ์ ์ ๋ณด๊ฐ ์ ์ฅ๋ 'User-Agent' ํค๋ ๊ฐ์ ํ ์ด๋ธ ํํ๋ก ์ถ๋ ฅํ๋ค. ์ฒซ ํ๋ฉด ํ ์ด๋ธ์๋ ์ต๊ทผ ์ ์ํ ์์๋๋ก 3๊ฐ๊น์ง๋ง ์ถ๋ ฅํ๋๋ฐ, ์ ํ๋ฉด์ download๋ผ๋ ์งํ ๊ธ์จ๋ฅผ ํด๋ฆญํ๋ฉด ์ ์ํ ๋ชจ๋ ์ ๋ณด๋ฅผ ๋ค ์ถ๋ ฅ์ํจ๋ค. ์ฌ๋ฌ๋ฒ ์ ์์ ๊ธฐ๋ก์ด ๋จ์. ๋ฒํ ์ค์ํธ๋ฅผ ์ด์ฉํ์ฌ user-agentํค๋์ ์คํฌ๋ฆฝํธ ์ฝ๋๋ฅผ ์ ๋ ฅํ์ฌ ํ ์ด๋ธ์ ์คํฌ๋ฆฝํธ๋ฅผ ์ ์ฅํ๋ xss๊ณต๊ฒฉ์ ์ํํด ๋ณด๊ฒ ๋ค. ์์ฒญ ํจํท์ ์ก์๋ง์ ํ์ธํ ๊ฒ ์ ์ฌ์ง์ฒ๋ผ ์๋ ์๋ ๋ชจ..
2020.09.30 -
์ด๋ฒ ํฌ์คํ ์ 'Stored Xss - Blog' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋์ด๋ ํ ํ์ด์ง์ ์ ์ xss ํ์ด์ง๋ ํ ์คํธ ์ ๋ ฅ ๊ณต๊ฐ์ ๋ด์ฉ์ ์ ๋ ฅํ๊ณ 'submit' ๋ฒํผ์ ํด๋ฆญํ๋ฉด ๊ทธ ์๋์ ์๋ ํ ์ด๋ธ์ ์ ๋ ฅํ ๋ด์ฉ์ ์ ์ฅํ๋ค. ์ ํ ์คํธ ์ ๋ ฅ ๊ณต๊ฐ์ 'Succeed'๋ผ๋ ๋ฉ์์ง๋ฅผ ์ถ๋ ฅํ๋ ์คํฌ๋ฆฝํธ ์ฝ๋๋ฅผ ์ ๋ ฅํด๋ณด์. ์ด ๋ฌธ์๋ฅผ ์ ๋ ฅํด์ฃผ๊ณ submit์ ํด๋ฆญํ๋ฉด ์คํฌ๋ฆฝํธ๊ฐ ์คํ๋์ด ํ์ด์ง์ ๊ฒฝ๊ณ ์ฐฝ์ผ๋ก์ Succeed๋ผ๋ ๋ฉ์ธ์ง๊ฐ ์ถ๋ ฅ๋๋ค. (์ ์คํฌ๋ฆฝํธ ๋ฌธ ์ค alert == ๊ฒฝ๊ณ ์ฐฝ) ์คํฌ๋ฆฝํธ ์คํ ํ ๊ธฐ๋ก์ ํ์ธํด๋ณด๋ฉด, ํ ์คํธ ์นธ์ด ๋น์ด์๋ค. ์ด๋ ..
[Bee-box] Stored Xss - Blog์ด๋ฒ ํฌ์คํ ์ 'Stored Xss - Blog' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋์ด๋ ํ ํ์ด์ง์ ์ ์ xss ํ์ด์ง๋ ํ ์คํธ ์ ๋ ฅ ๊ณต๊ฐ์ ๋ด์ฉ์ ์ ๋ ฅํ๊ณ 'submit' ๋ฒํผ์ ํด๋ฆญํ๋ฉด ๊ทธ ์๋์ ์๋ ํ ์ด๋ธ์ ์ ๋ ฅํ ๋ด์ฉ์ ์ ์ฅํ๋ค. ์ ํ ์คํธ ์ ๋ ฅ ๊ณต๊ฐ์ 'Succeed'๋ผ๋ ๋ฉ์์ง๋ฅผ ์ถ๋ ฅํ๋ ์คํฌ๋ฆฝํธ ์ฝ๋๋ฅผ ์ ๋ ฅํด๋ณด์. ์ด ๋ฌธ์๋ฅผ ์ ๋ ฅํด์ฃผ๊ณ submit์ ํด๋ฆญํ๋ฉด ์คํฌ๋ฆฝํธ๊ฐ ์คํ๋์ด ํ์ด์ง์ ๊ฒฝ๊ณ ์ฐฝ์ผ๋ก์ Succeed๋ผ๋ ๋ฉ์ธ์ง๊ฐ ์ถ๋ ฅ๋๋ค. (์ ์คํฌ๋ฆฝํธ ๋ฌธ ์ค alert == ๊ฒฝ๊ณ ์ฐฝ) ์คํฌ๋ฆฝํธ ์คํ ํ ๊ธฐ๋ก์ ํ์ธํด๋ณด๋ฉด, ํ ์คํธ ์นธ์ด ๋น์ด์๋ค. ์ด๋ ..
2020.09.26 -
์ด๋ฒ ํฌ์คํ ์ 'Session Management Vulnerabilities - ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ์ธ์ ๊ด๋ฆฌ ์ทจ์ฝ์ ์ธ์ ์ ์น ์ฌ์ดํธ์์ ์๋น์ค๋ฅผ ์ ๊ณตํ ๋ ์ฌ์ฉ์์ ๋ก๊ทธ์ธ์ ์ ์งํ๊ธฐ ์ํ์ฌ ์ฌ์ฉํ๋ค. lucete1230-cyberpolice.tistory.com/22 >> ์ฟ ํค์ ์ธ์ ์์๋ณด๊ธฐ ์ธ์ ๊ด๋ฆฌ๊ฐ ์ํํ๋ฉด ์ธ์ ์ ๊ฐ๋ก์ฑ์ ์ฌ์ฌ์ฉํ๋ ๊ณต๊ฒฉ์ด ๊ฐ๋ฅํ๋ค. ์ค๋ฌด์์๋ ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ์ ๋ํ ์ธ์ ์ฒ๋ฆฌ๋ฅผ ์ ๋๋ก ํ์ง ์์ ๋ง์ ์ทจ์ฝ์ ๋ค์ด ๋์ถ๋๋ค. ํนํ ๊ฐ๋ฐ์๊ฐ ์ค๊ฐ์ ๊ต์ฒด๋๊ฑฐ๋ ์ ์ง๋ณด์ํ๋ฉฐ ์ถ๊ฐ๋ ํ์ด์ง์ ๋ํด ์ธ์ ์ฒ๋ฆฌ..
[Bee-box] Session - ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ์ด๋ฒ ํฌ์คํ ์ 'Session Management Vulnerabilities - ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ์ธ์ ๊ด๋ฆฌ ์ทจ์ฝ์ ์ธ์ ์ ์น ์ฌ์ดํธ์์ ์๋น์ค๋ฅผ ์ ๊ณตํ ๋ ์ฌ์ฉ์์ ๋ก๊ทธ์ธ์ ์ ์งํ๊ธฐ ์ํ์ฌ ์ฌ์ฉํ๋ค. lucete1230-cyberpolice.tistory.com/22 >> ์ฟ ํค์ ์ธ์ ์์๋ณด๊ธฐ ์ธ์ ๊ด๋ฆฌ๊ฐ ์ํํ๋ฉด ์ธ์ ์ ๊ฐ๋ก์ฑ์ ์ฌ์ฌ์ฉํ๋ ๊ณต๊ฒฉ์ด ๊ฐ๋ฅํ๋ค. ์ค๋ฌด์์๋ ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ์ ๋ํ ์ธ์ ์ฒ๋ฆฌ๋ฅผ ์ ๋๋ก ํ์ง ์์ ๋ง์ ์ทจ์ฝ์ ๋ค์ด ๋์ถ๋๋ค. ํนํ ๊ฐ๋ฐ์๊ฐ ์ค๊ฐ์ ๊ต์ฒด๋๊ฑฐ๋ ์ ์ง๋ณด์ํ๋ฉฐ ์ถ๊ฐ๋ ํ์ด์ง์ ๋ํด ์ธ์ ์ฒ๋ฆฌ..
2020.09.24 -
์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Weak Passwords' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋น๋ฐ๋ฒํธ ์ฌ์ ๋์ ๊ณต๊ฒฉ ๋น๋ฐ๋ฒํธ ์ฌ์ ๋์ ๊ณต๊ฒฉ(weak password)์ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ๊ณผ ๋น์ทํด ๋ณด์ด์ง๋ง, ๋น๋ฐ๋ฒํธ๋ฅผ ์ค์ ํ๋ ์ฌ๋๋ค์ด ์ ํธํ๋ ๋ฌธ์์ด์ ๋์ ํ๋ ๊ณต๊ฒฉ์ด๋ค. ์ธ์ฆ ๊ณผ์ ์ ์ํธํ๊ฐ ๋ณต์กํ์ฌ๋ ์ฌ์ฉ์๊ฐ ์ค์ ํ๋ ๋น๋ฐ๋ฒํธ๊ฐ ๊ฐ๋จํ๋ค๋ฉด ๊ณต๊ฒฉ์๋ ๋ค๋ฅธ์ฌ์ฉ์๋ก ์ฝ๊ฒ ๋ก๊ทธ์ธ ํ ์ ์๋ค. ์ด๋ ์ฌ์ฉ์๋ค์ด ์ธ์ฐ๊ธฐ ์ฌ์ด ๋ฌธ์์ด์ ์ค์ ํ๊ธฐ ๋๋ฌธ์ด๋ค. ๋ฐ๋ผ์ ์ฌ์ฉ์๋ค์ด ๊ฐ์ฅ ์ฆ๊ฒจ ์ฐ๋ ๋น๋ฐ๋ฒํธ๋ฅผ ๋ง์น ์ฌ์ ์ฒ๋ผ ๊ธฐ๋กํ, ํ์ผ์ ์๋ ๋ฌธ์์ด์ ํ๋์ฉ ๋์ ํ์ฌ ..
[Bee-box] Broken Auth. - Password Attacks์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Weak Passwords' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋น๋ฐ๋ฒํธ ์ฌ์ ๋์ ๊ณต๊ฒฉ ๋น๋ฐ๋ฒํธ ์ฌ์ ๋์ ๊ณต๊ฒฉ(weak password)์ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ๊ณผ ๋น์ทํด ๋ณด์ด์ง๋ง, ๋น๋ฐ๋ฒํธ๋ฅผ ์ค์ ํ๋ ์ฌ๋๋ค์ด ์ ํธํ๋ ๋ฌธ์์ด์ ๋์ ํ๋ ๊ณต๊ฒฉ์ด๋ค. ์ธ์ฆ ๊ณผ์ ์ ์ํธํ๊ฐ ๋ณต์กํ์ฌ๋ ์ฌ์ฉ์๊ฐ ์ค์ ํ๋ ๋น๋ฐ๋ฒํธ๊ฐ ๊ฐ๋จํ๋ค๋ฉด ๊ณต๊ฒฉ์๋ ๋ค๋ฅธ์ฌ์ฉ์๋ก ์ฝ๊ฒ ๋ก๊ทธ์ธ ํ ์ ์๋ค. ์ด๋ ์ฌ์ฉ์๋ค์ด ์ธ์ฐ๊ธฐ ์ฌ์ด ๋ฌธ์์ด์ ์ค์ ํ๊ธฐ ๋๋ฌธ์ด๋ค. ๋ฐ๋ผ์ ์ฌ์ฉ์๋ค์ด ๊ฐ์ฅ ์ฆ๊ฒจ ์ฐ๋ ๋น๋ฐ๋ฒํธ๋ฅผ ๋ง์น ์ฌ์ ์ฒ๋ผ ๊ธฐ๋กํ, ํ์ผ์ ์๋ ๋ฌธ์์ด์ ํ๋์ฉ ๋์ ํ์ฌ ..
2020.09.24 -
์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Password Attacks' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋น๋ฐ๋ฒํธ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ ๋น๋ฐ๋ฒํธ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ(Password Attack)์ ์ฌ์ฉ์์ ๋ํ ๊ณ์ ์ ๋ณด๋ฅผ ํ๋ํ๊ธฐ ์ํด ๋น๋ฐ๋ฒํธ๋ก ์ ๋ ฅ ๊ฐ๋ฅํ ๋ชจ๋ ๋ฌธ์ ์กฐํฉ์ ์ ๋ ฅํ์ฌ, ์ฌ์ฉ์์ ๊ณ์ ๊ณผ ๋น๋ฐ๋ฒํธ๊ฐ ์ผ์นํ ๋๊น์ง ๋์ ํ๋ ๊ณต๊ฒฉ์ด๋ค. ์ผ์ผ์ด ์๋์ผ๋ก ์ ๋ ฅํ๋ ๊ฒ๋ณด๋ค๋ ์๋ํ ๋๊ตฌ๋ฅผ ํจ์จ์ ์ผ๋ก ์ฌ์ฉํ๋๊ฒ ์ข๋ค.(ํ์ด์ฌ๋ ๊ด์ฐฎ์) ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ์ ํ ๋๋ ์น ์ฌ์ดํธ์ ๋น๋ฐ๋ฒํธ ์ ์ฑ ์ ํ์ ํ ํ, ์กฐํฉํ ๋ฌธ์์ ๊ตฌ์ฑ๊ณผ ์ต์ ๋ฌธ์์ด ๊ธธ์ด๋ฅผ ์ ํด์ค๋ค. ๋ฌธ์์ ..
[Bee-box] Broken Auth. - Password Attacks์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Password Attacks' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋น๋ฐ๋ฒํธ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ ๋น๋ฐ๋ฒํธ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ(Password Attack)์ ์ฌ์ฉ์์ ๋ํ ๊ณ์ ์ ๋ณด๋ฅผ ํ๋ํ๊ธฐ ์ํด ๋น๋ฐ๋ฒํธ๋ก ์ ๋ ฅ ๊ฐ๋ฅํ ๋ชจ๋ ๋ฌธ์ ์กฐํฉ์ ์ ๋ ฅํ์ฌ, ์ฌ์ฉ์์ ๊ณ์ ๊ณผ ๋น๋ฐ๋ฒํธ๊ฐ ์ผ์นํ ๋๊น์ง ๋์ ํ๋ ๊ณต๊ฒฉ์ด๋ค. ์ผ์ผ์ด ์๋์ผ๋ก ์ ๋ ฅํ๋ ๊ฒ๋ณด๋ค๋ ์๋ํ ๋๊ตฌ๋ฅผ ํจ์จ์ ์ผ๋ก ์ฌ์ฉํ๋๊ฒ ์ข๋ค.(ํ์ด์ฌ๋ ๊ด์ฐฎ์) ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ์ ํ ๋๋ ์น ์ฌ์ดํธ์ ๋น๋ฐ๋ฒํธ ์ ์ฑ ์ ํ์ ํ ํ, ์กฐํฉํ ๋ฌธ์์ ๊ตฌ์ฑ๊ณผ ์ต์ ๋ฌธ์์ด ๊ธธ์ด๋ฅผ ์ ํด์ค๋ค. ๋ฌธ์์ ..
2020.09.22 -
์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Insecure Login Forms' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ์์ ํ์ง ์์ ๋ก๊ทธ์ธ ํ์ 'ba_insecure_login_1.php' ํ์ด์ง์์๋ ์น ํ์ด์ง๊ฐ ์์ ํ์ง ์์ ๋ก๊ทธ์ธ ํ์์ ์ฌ์ฉํ๋์ง ์ ๊ฒํ๋ค. ๋์ด๋ ํ ํ์ด์ง๋ฅผ ํด๋ฆญํด์ค๋ค. (์ ๋ ๊ณต๊ฒฉ์ ์๋ก ์ ๊ทธ๋ ์ด๋ ๋ ๊ณต๊ฒฉ์ค์ต ์ธ๊ฒ ๊ฐ์๋ค.) ํ์ด์ง์ ๋ค์ด์์ ๋ณด๋, ๋ก๊ทธ์ธ ํ๋ ํ์ด์ง์ด๋ค. ์ด ํ์ด์ง์ ์์ค ์ฝ๋๋ฅผ ๊ฐ๋ฐ์๋๊ตฌ[F12]๋ก ํ์ธํ๋ค. 'main'์์ POST๋ฐฉ์์ผ๋ก ์ ์กํ๋ form ํ๊ทธ๋ฅผ ์ฐพ์์ ๋ณด๋ฉด, login์ด๋ผ๋ ๋ ์ด๋ธ ๋ฐ์ ํฐ์์ผ..
[Bee-box] Broken Auth. - Insecure Login Forms์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Insecure Login Forms' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ์์ ํ์ง ์์ ๋ก๊ทธ์ธ ํ์ 'ba_insecure_login_1.php' ํ์ด์ง์์๋ ์น ํ์ด์ง๊ฐ ์์ ํ์ง ์์ ๋ก๊ทธ์ธ ํ์์ ์ฌ์ฉํ๋์ง ์ ๊ฒํ๋ค. ๋์ด๋ ํ ํ์ด์ง๋ฅผ ํด๋ฆญํด์ค๋ค. (์ ๋ ๊ณต๊ฒฉ์ ์๋ก ์ ๊ทธ๋ ์ด๋ ๋ ๊ณต๊ฒฉ์ค์ต ์ธ๊ฒ ๊ฐ์๋ค.) ํ์ด์ง์ ๋ค์ด์์ ๋ณด๋, ๋ก๊ทธ์ธ ํ๋ ํ์ด์ง์ด๋ค. ์ด ํ์ด์ง์ ์์ค ์ฝ๋๋ฅผ ๊ฐ๋ฐ์๋๊ตฌ[F12]๋ก ํ์ธํ๋ค. 'main'์์ POST๋ฐฉ์์ผ๋ก ์ ์กํ๋ form ํ๊ทธ๋ฅผ ์ฐพ์์ ๋ณด๋ฉด, login์ด๋ผ๋ ๋ ์ด๋ธ ๋ฐ์ ํฐ์์ผ..
2020.09.22 -
์ด๋ฒ ํฌ์คํ ์ XML/Xpath Search injection์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋์ด๋ ํ (owasp ๊ณต๊ฒฉ๋ถ๋ฅ ์ค) A1 ์ด ์ด์ ๋๋ฌ๋ค.ใ ใ ใ A1ํํธ์ ์ฃผ์ ๊ณต๊ฒฉ์ธ sql์ธ์ ์ ์ด ํจ๊ป ์์ด์ ๊ทธ๋ฐ์ง, los, webhacking...๋ฑ ๋ฌธ์ ์ ํจ๊ป ํ๋ฉฐ ์ด๋ฐ์ ๋ฐ ์ค์ต์ ํจ๊ป ํ๋๋ผ ์๊ฐ์ด ๋ ์ค๋ ๊ฑธ๋ ธ๋ ๊ฒ ๊ฐ๋ค. ์์ผ๋ก ๋น ๋ฅด๊ฒ ๋๊ฐ์ผ ๊ฒ ๋ค. xml/xpath injection (search) ๋ค์ด๊ฐ๊ธฐ! (A1 ๋ง์ง๋ง ์ค์ต์ ๋๋ค.) xmli_2.php ํ์ด์ง๋ ์ํ๋ฅผ ์ฅ๋ฅด๋ณ๋ก ๋ถ๋ฅํ์ฌ ์ํ ์ ๋ชฉ๋ง ํ ์ด๋ธ ํํ๋ก ์ถ๋ ฅํ๋ค. GET ๋ฉ์๋๋ก ์์ฒญํ๊ธฐ..
[Bee-box] XML/Xpath ์ธ์ ์ -Search์ด๋ฒ ํฌ์คํ ์ XML/Xpath Search injection์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋์ด๋ ํ (owasp ๊ณต๊ฒฉ๋ถ๋ฅ ์ค) A1 ์ด ์ด์ ๋๋ฌ๋ค.ใ ใ ใ A1ํํธ์ ์ฃผ์ ๊ณต๊ฒฉ์ธ sql์ธ์ ์ ์ด ํจ๊ป ์์ด์ ๊ทธ๋ฐ์ง, los, webhacking...๋ฑ ๋ฌธ์ ์ ํจ๊ป ํ๋ฉฐ ์ด๋ฐ์ ๋ฐ ์ค์ต์ ํจ๊ป ํ๋๋ผ ์๊ฐ์ด ๋ ์ค๋ ๊ฑธ๋ ธ๋ ๊ฒ ๊ฐ๋ค. ์์ผ๋ก ๋น ๋ฅด๊ฒ ๋๊ฐ์ผ ๊ฒ ๋ค. xml/xpath injection (search) ๋ค์ด๊ฐ๊ธฐ! (A1 ๋ง์ง๋ง ์ค์ต์ ๋๋ค.) xmli_2.php ํ์ด์ง๋ ์ํ๋ฅผ ์ฅ๋ฅด๋ณ๋ก ๋ถ๋ฅํ์ฌ ์ํ ์ ๋ชฉ๋ง ํ ์ด๋ธ ํํ๋ก ์ถ๋ ฅํ๋ค. GET ๋ฉ์๋๋ก ์์ฒญํ๊ธฐ..
2020.09.19