Computer/0x00 정보보안 썸네일형 리스트형 웹해킹으로 루트를 획득할 수 있는가? 웹해킹으로 루트를 획득할 수 있는가? 웹해킹의 경우 일반적으로 시스템해킹,네트워크해킹과 따로 분류하여 생각하는 경우가 많습니다.그러나 사실 유기적으로 연결되어 있기 떄문에 사실상 가장 취약하고 쉽게 접근 가능한 웹해킹을 통해시스템 안으로 침투하는 경우가 많이 발생하고 있습니다. 이번 시간에는 웹해킹을 통해서 '루트(root)'를 획득 할 수 있는지에 대한 큰 방법 2가지에 대해서 생각해 보는 시간을 갖겠습니다. 루트를 획득하는 2가지 흐름 여러가지 방법을 통하여 '웹쉘' 이식에 성공을 합니다. 위에 화면은 초기형태의 웹쉘로 '오리지널'에 가까운 녀석 입니다. 대게 이상태에서 시스템 명령어를 수행 할 수 있으나, 한 단계 더 나아가 'root' 까지 획득 하려면 해야 할까요? 아니 웹해킹으로 시스템의 최고.. 더보기 RFI(Remote File inclusion Vulnerability) 취약점 RFI(Remote File inclusion Vulnerability) 취약점 해커는 일반적으로 시스템의 취약점을 이용하여 침투를 하게 됩니다.그래서 가장 취약한 곳을 집중적으로 스캔하면서 정보수집을 하게되죠. 그러므로 보안의 강도는 가장약한 사슬의 연결고리만큼 강하다 라는 말이 나오는 것입니다.10군데 중에 9군데가 철통방어 되어 있는 곳 vs 10군데 중에 1군데만 방어 되어 있는곳 이 있다고 가정한다면, 일반적으로 전자가 후자보다 보안강도가 우수하다고 여길수 있겠지만,해킹에서는 결국 뚫리는 것은 똑같기 떄문에 둘다 보안이 우수한것은 아닙니다. 그래서 방어하는 입장이 더욱 힘든 것이고 무엇보다 완벽한 보안은 사실상 존재 하지 않기 때문에조금이라도 더 해커를 귀찮게 하거나 시간을 끌게 만드는 정도까지.. 더보기 최정예 정보보호 실무자 양성:라온화이트햇 최정예 정보보호 실무자 양성:라온화이트햇(사이버보안 인력양성 협력기관) 라온화이트햇 체험단을 통해 무료교육과 기업 실무자 대상으로 보안인력 양성에 힘을 쏟고 있는 기업인 '라온시큐어' 에서는 이번에 'KISA 선정 최정예 사이버보안 인력양성 교육 협력기관으로 선정 되었다고 합니다. 와~! 사실 저도 라온화이트햇 체험단 1기에 뽑히는 운이 좋았던 케이스 였기 때문에 그곳에서 교육 받고많은 성장의 발판을 디딛는 계기가 되었던 곳이라 정이 많이 갑니다. 이순형 대표님의 철학도 마음에 들고, 강사진 모두 훌륭한 해커 분들이라앞으로 많은 성장이 기대됩니다. 이번 시간에는 최정예 정보보호 실무자 양성 프로그램이 무엇인지, 그리고 협력기관으로 지목된 라온화이트햇에 대해서 알아보도록 하겠습니다. 최정예 정보보호 실무자.. 더보기 [OWASP webgoat]Spoof an Authentication Cookie 문제풀이 [OWASP webgoat]Spoof an Authentication Cookie 문제풀이 안녕하세요. 현재 BOB2기 발표 기다리느나 수명이 줄어든 파크야 입니다 :)언제쯤 발표가 날런지 이제는 발표와 상관없이 편안한 마음으로 있는게 정신적으로 좋을것 같습니다. 이번 시간에는 OWASP webgoat 에서 Spoof an Authentication Cookie 라는 문제를 풀어 보도록 하겠습니다.이번 war game은 추리소설 같이 공통적인 단서를 찾아서 푸는 것이라고 볼 수 있겠군요. Spoof an Authentication Cookie 문제 - '인증쿠키가 어떻게 위조 되는지에 대한 메커니즘' 을 학습하는 문제 입니다.이번 실습을 위해서 'COOXIE' 라는 툴을 사용하실 것을 권장 해 드립니다... 더보기 [OWASP WebGoat] Reflected XSS Attacks 문제풀이 [OWASP WebGoat] Reflected XSS Attacks 문제풀이 지난 시간에는 Stored XSS Attack 에 대해서 설명 했습니다. ( 바로가기 ) 이번 시간에는 Reflected XSS Attacks 에 대한 개요만 문제풀이를 진행 하겠습니다.엄청 쉽지만, 원리를 파악 하시는 것이 중요 합니다. :) Reflected XSS Attacks 란? [그림: 반사 XSS 공격개요] p.s 인터넷에 제대로 된 그림이 없어서 직접 만들었습니다. :) Reflected XSS Attacks란? 저장되지 않고 실행되는 것, 즉 '반사 크로스 사이트 스크립팅' 이라고 합니다.가령, 에러메세지를 띄우는 창이 있으면 이런 것을 화면에 출력 시켜주는 곳은모두 공격대상이 될 수 있습니다. [OWASP We.. 더보기 [OWASP WebGoat] Stored XSS Attacks 문제풀이 [OWASP WebGoat] Stored XSS Attacks 문제풀이 최근에 Wargame에 집중하고 있습니다. 다른분들은 wargame 부터 공부하면서 필요한 지식을 흡수 하는 형태로 공부를 하시는것 같은데, 저는 기반지식부터 닦고 오느라고 꾀 오래 걸린것 같습니다.장단점이 있는것 같습니다. 이제부터라도 워게임 많이 접해 보면서 모의해킹 실력을 끌어 올려봐야죠 ㅎㅎ그리고 짬날때 마다 이론공부를 하면서 경험치를 많이 쌓아서 렙업 해야겠습니다. 하면 할수록 재미있거든요 이번 시간은 OWASP 웹 취약점을 모의해킹 게임을 통해 보겠습니다.WebGoat 에서 Stored XSS Attacks 문제 풀이 입니다. Stored XSS 란 무엇 인가요? [ 그림: Stored XSS Attacks 에 대한 개요 .. 더보기 이전 1 2 3 4 ··· 7 다음