전체 글16 Ch 07 웹 해커의 도구(+실습) *틀린 내용이 있을 경우 댓글로 알려주신다면 감사하겠습니다! 웹 브라우저 : 웹 브라우저는 웹에서 페이지를 검색하고 표시하며 사용자가 하이퍼링크를 통해 추가 페이지에 접근할 수 있도록 하는 프로그램입니다. 다음은 브라우저 종류들과 함께 웹 취약점 찾을 때 사용하는 도구에 대한 것입니다. 1. 크롬 - 2008년 9월 2일에 공개된 구글에서 개발한 웹 브라우저입니다. 크롬에서는 웹 페이지를 쉽게 분석할 수 있는 도구가 존재합니다. - 우측 상단 점 세 개 아이콘 클릭하고 [도구 더보기]-[개발자 도구] 메뉴를 선택하면 접속한 사이트의 코드를 확인할 수 있습니다. 2. 엣지 - 인터넷 익스플로러를 대체하는 마이크로소프트에서 만든 브라우저입니다. 엣지에도 개발자 도구 기능이 있어 웹 사이트 페이지 레이아웃, .. 2023. 2. 15. Ch 06 소스코드 취약점 분석(+실습) *틀린 내용이 있을 경우 댓글로 알려주신다면 감사하겠습니다! 웹 애플리케이션의 보안 취약점 찾기 1) Black Box Testing : 소스코드를 보지 않고 웹 애플리케이션의 외부 인터페이스나 구조를 분석해 취약점을 분석하는 방식입니다. 내부 구조나 작동원리를 모르는 채로 입력값과 결과에만 초점을 맞춰 검사합니다. White Box Testing에 비해 취약점 찾는 속도가 빠르고 다양한 취약점을 찾는 시도를 할 수 있습니다. 아래는 해당 방식이 사용하는 검사 기법입니다. Equivalence Class Testing – 프로그램이 특정 값의 입력에 대해 동일한 결과를 생성하는 클래스를 식별하고 해당 클래스에서 하나의 값을 가지고 검사. Boundary Value Evaluation – 입력 조건의 중간.. 2023. 2. 8. Ch 05 XSS 공격(실습) 실습1) Stored XSS 공격 연습하기 WebGoat를 실행하여 [Stored XSS Attacks] 메뉴로 들어갑니다. Title과 Message에 글을 작성하고 submit 버튼을 누릅니다. 그러면 Message List에 Title에 적은 단어로 된 게시물 하나가 뜨는데 이를 클릭하면 Message에 적었던 글이 알림창으로 뜨게 됩니다. 실습2) Reflected XSS 공격 연습하기 WebGoat에서 [Reflected XSS Attacks] 메뉴로 들어갑니다. 공격자는 Enter your three digit access code에 들어가는 값을 수정할 수 있습니다. 더보기 //해당 페이지 소스를 통해 확인 (--생략--) Enter your three digit access code: .... 2023. 2. 1. Ch 05 XSS 공격 *틀린 부분이 있다면 댓글로 알려주신다면 감사하겠습니다! XSS 공격에 대해 말하기 앞서 웹 애플리케이션이 사용자를 인증하는 방법에 대해 간단히 말하고 넘어가려 합니다. 웹 애플리케이션에서는 아이디와 패스워드를 가지고 우선 사용자의 신원을 확인합니다. 확인이 끝나면 웹 애플리케이션이 사용자에게 고유한 값을 전달합니다. 추후 사용자가 다시 웹사이트에 방문할 때마다 로그인할 필요 없이 전에 받은 고유한 값을 가지고 사이트를 이용할 수 있게 됩니다. 웹 애플리케이션에서 사용자를 식별할 때 이 고유한 값을 가지고 진행합니다. 그리고 그 고유한 값을 '쿠키'라고 합니다. 쿠키(Cookie) : 사용자들이 웹 사이트를 편리하게 이용할 수 있게 하려고 넷스케이프에서 1994년에 만들어진 기술로, 사용자가 인터넷 웹 .. 2023. 2. 1. 이전 1 2 3 4 다음