오늘은 제로보드에 대해서 공부하도록 하겠습니다
php문이 실행이 되지않았으므로 ?php를 안적어도 되게 고쳐줍니다
#>vi /etc/php.ini
short_open_tag를 on으로 바꿔줍니다
바꿔주면 이렇게 뜹니다
이제 한글이 깨지므로 크롬 앱스토어에 가서 인코딩 앱을 다운받습니다
이렇게 하면 제대로 한글이 뜨는 걸 볼 수 있습니다.
zboard 폴더 권한이 707로 되어있어야 빨간 문구가 뜨지 않습니다
#>chmod 707 zboard
한글이 잘 뜨는걸 확인 할 수 있습니다
이제 설치를 해보도록 하겠습니다
제로보드에 사용할 zboard 디비를 만들어 보도록하겠습니다
디비를 생성했으면 그대로 적어주고 넘어갑니다
하지만 버젼이 달라서 실패를 하게됩니다.
schema.sql 파일 수정
#>cd zboard
#>ls
#>vi schema.sql
29번째 라인
1).패스워드 필드의 길이
기존:password varchar(20)
변경:password varchar(50)
3개 수정
2). 테이블 생성시 제약조건
관리자 계정을 만들고나서 로그인하면 관리자 페이지가 잘 나오는걸 알 수 있습니다.
그룹을 하나 만들어 줍니다
게시판을 하나 만들어줍니다
html 모두 허용과 자료실 기능 허용을 해주고 만듭니다
게시글을 하나 만들어줍니다
1. 클라이언트측 언어를 이용한 취약점
- javascript, html
- 사용자 웹 브라우저에서 실행
- 불특정 다수를 대상으로 공격하기에 매우 적합
1). XSS(Cross Site Scripting)
- 공격자가 실행하길 원하는 악의적인 코드를 사용자의
웹 브라우저를 통해서 실행 가능
- 악성코드 유포, 실행 제어,...
*실습
이렇게 게시글로 보이지 않는데 게시글을 작성했을때 스크립트 코드를 넣었을 시 코드가 실행 되는걸 볼수 있습니다
- 댓글창에도 되는걸 볼수 있습니다
댓글에 script 코드를 적고 나서 댓글을 씁니다
이렇게 alert 문이 실행되는걸 볼 수 있습니다
- 메모 보내기에서 되는걸 확일 할 수 있습니다
메모를 클릭하면 alert문이 실행되는걸 볼 수 있습니다
따라서 이 게시판은 xss 공격에 취약한걸 알 수 있습니다.
2). 제로보드의 XSS 취약점
- 댓글
- 쪽지 제목, 게시글 제목
- 답글
* 취약점 파악해보기
소스분석이 최고!
'Security > Web' 카테고리의 다른 글
| [WEB SECURITY]15. CSRF 2 / php 파일 업로드 취약점 1 (0) | 2017.08.30 |
|---|---|
| [WEB SECURITY]14. XSS 취약점 2 / CSRF 1 (0) | 2017.08.29 |
| [WEB SECURITY]11. 게시판 만들기 3 (0) | 2017.08.24 |
| [WEB SECURITY]10. 게시판 만들기 2 (0) | 2017.08.23 |
| [WEB SECURITY]9. 게시판 만들기 (0) | 2017.08.22 |
