Security/Web 검색 결과

20 개의 검색 결과가 있습니다.

Security/Web

[WEB SECURITY]15. CSRF 2 / php 파일 업로드 취약점 1

어제에 이어서 CSRF를 진행 해보도록 하겠습니다 어제 했던 공격에서 GET 방식을 이용해서 192.168.12.186 서버의 관리자 권한을 취득해보도록 하겠습니다. img 태그를 써서 url을 적어보겠습니다 꼭 이미지 url일 필요는 없습니다 이렇게 wireshark를 통해서 보시면 제가 요청한 test.html이 뿐만 아니라 나중에 img 태그에 걸린 url을 가져와야하기 때문에 자동으로 요청을 보내지는걸 알 수 있습니다. 그 방식을 통해서 CSRF GET방식으로 관리자 권한을 획득 해보도록 하겠습니다 echo로 회원가입을 해서 일반 사용자인 상태입니다 이렇게 GET방식으로 레벨과 관리자 권한을 바꾸는 요청을 적어놓고 게시글을 작성합니다 저 요청은 관리자가 보내야 서버에서 인식하므로 관리자가 저 게시..

2017. 8. 30. 21:47

Security/Web

[WEB SECURITY]14. XSS 취약점 2 / CSRF 1

XSS 1).stored XSS -게시글, 쪽지,회원정보 ... 2). reflected XSS - 입력 값이 그대로 되돌아 오면서 스크립트가 실행 -192.168.12.241/zboard/check_user_id.php?user_id= -링크로 악용 될 수 있다 - 짧은 URL을 이용해서 스크립트를 감춥니다 - Short url(http://bit.ly/2wkTFoy) 1. 기존의 보안 방식 1) 솔루션의 이용: 방화벽, 웹 방화벽, IPS, IDS, 백신..... - 가장 오래된 전통적인 보안 방식 2). 보안 패치 !일반적인 개발 과정 기획-> 설계 -> 구현 -> 배포-> 유지보수 !시큐어 코딩 - 개발 과정 전체에서 보안 취약점을 없애는 개발 방식 XSS 차단: 게시글의 본문 - 입력값 검증 "..

2017. 8. 29. 21:42

Security/Web

[WEB SECURITY]13. 제로보드/ XSS 취약점

오늘은 제로보드에 대해서 공부하도록 하겠습니다 php문이 실행이 되지않았으므로 ?php를 안적어도 되게 고쳐줍니다 #>vi /etc/php.ini short_open_tag를 on으로 바꿔줍니다 바꿔주면 이렇게 뜹니다 이제 한글이 깨지므로 크롬 앱스토어에 가서 인코딩 앱을 다운받습니다 이렇게 하면 제대로 한글이 뜨는 걸 볼 수 있습니다. zboard 폴더 권한이 707로 되어있어야 빨간 문구가 뜨지 않습니다 #>chmod 707 zboard 한글이 잘 뜨는걸 확인 할 수 있습니다 이제 설치를 해보도록 하겠습니다 제로보드에 사용할 zboard 디비를 만들어 보도록하겠습니다 디비를 생성했으면 그대로 적어주고 넘어갑니다 하지만 버젼이 달라서 실패를 하게됩니다. schema.sql 파일 수정 #>cd zboar..

2017. 8. 28. 21:48

Security/Web

[WEB SECURITY]11. 게시판 만들기 3

2. sign in -signin.php -session -사용자 번호, 사용자 아이디, 세션번호 -signout.php -브라우저를 그냥 종료시키는 경우 -signup.php를 구현해서 signup 버튼을 누르면 갈 수 있게 링크를 걸었습니다 3.write.php /write_ok.php 1)write.php -입력 폼 2) write_ok.php - 입력 폼으로부터 데이터를 전달받아서 디비에 저장 - board: 게시글 번호(식별자),게시글 제목, 게시글 본문, 글작성자, 작성시간(자동으로처리) -글쓰기 버튼을 누르면 입력폼으로 넘어가게 만들었습니다-로그인이 안되어 있을 시에는 로그인을 하라고 뜨게만들었습니다 write.php 구성 -입력 폼을 만들기 write_ok.php를 구성해서 board 디비..

2017. 8. 24. 21:47

Security/Web

[WEB SECURITY]10. 게시판 만들기 2

게시판 만들기 시나리오 1. 사용자는 회원가입후에 로그인 할 수 있다 2.이미 가입된 사용자의 아이디는 사용할 수없다 3. 중복 로그인은 허용하지 않는다4. 로그인 하지 않은 사용자도 게시글 목록을 볼수 있다 5. 로그인 하지 않은 사용자는 게시글 내용을 보거나, 작성 할 수 없다 6. 로그인한 사용자는 게시글 내용을 볼수 있으며 게시글을 작성 할 수 있다. 7 로그인한 사용자는 자기가 작성한 게시글에 대해서 수정이나 삭제가 가능하다 세부 기능 1.회원 가입 - 사용자 아이디, 사용자 패스워드 ,이메일 - 아이디 중복체크 기능 - 공백은 허용하지 않음 2.로그인 - 사용자 아이디, 사용자 패스워드 - 이미 로그인 되어 있는 경우에는 로그인 할 수 없다 3.게시글 목록보기 - 게시판에 접속하면 게시글 목록..

2017. 8. 23. 21:55

Security/Web

[WEB SECURITY]9. 게시판 만들기

게시판 만들기 시나리오 1. 사용자는 회원가입후에 로그인 할 수 있다 2.이미 가입된 사용자의 아이디는 사용할 수없다 3. 중복 로그인은 허용하지 않는다4. 로그인 하지 않은 사용자도 게시글 목록을 볼수 있다 5. 로그인 하지 않은 사용자는 게시글 내용을 보거나, 작성 할 수 없다 6. 로그인한 사용자는 게시글 내용을 볼수 있으며 게시글을 작성 할 수 있다. 7 로그인한 사용자는 자기가 작성한 게시글에 대해서 수정이나 삭제가 가능하다 세부 기능 1.회원 가입 - 사용자 아이디, 사용자 패스워드 ,이메일 - 아이디 중복체크 기능 - 공백은 허용하지 않음 2.로그인 - 사용자 아이디, 사용자 패스워드 - 이미 로그인 되어 있는 경우에는 로그인 할 수 없다 3.게시글 목록보기 - 게시판에 접속하면 게시글 목록..

2017. 8. 22. 21:53