전체 글 (226) 썸네일형 리스트형 해킹 라이브 정리 - 다크웹, 딥웹, 프록시 서버 Tor Network > The Onion Routing > 익명. 암호화 통신이 가능 > 미국 정부, 군대 퍼블릭 웹사이트에 접속하려고 하면 Tor 브라우저가 각 노드를 돌면서 key를 받아옴 그럼 보낼 데이터를 Exit Relay부터 역순으로 차근차근 암호화한다 그리고 각 노드들의 서버는 세계 곳곳에 있음 그러다보니 엄청 느림 ** 토르 네트워크를 쓰는 이유 (1) IP 우회 서버가 여러 곳에 있기 때문에 내 IP주소가 바뀜 그래서 국내 IP가 막힌 여러 곳에 접속 가능 ->IP 주소 세탁 (2) 언론, 표현의 자유 > 검열을 피하기 위해서 (3) 자신을 숨기기 위해, 익명성 > 정부의 검열, 모니터링 (4) 범죄를 일으키기 위해서 VPN : 가상 사설망 다크웹 / 딥웹 딥웹 : 특정 검색 엔진을 써.. XSS 공격 정리 (Cross-Site Scripting) XSS는 웹 상에서 가장 기초적인 공격 방법이다. 왜냐하면 서버가 아닌 사용자들을 공격하는 기법이기 때문이다. 사이트에 접속한 사용자는 삽입된 악성 스크립트가 실행되고 쿠키나 세션같은 개인정보가 탈취당할 수 있다. 여러 사용자가 접근 가능한 게시판이나 메일과 같은 매체를 통해 전파되기도 한다고 한다. 또, {{{#!html HTML}}} 을 이용해서 HTML 태그를 사용할 수 있다고 한다. 원치 않는 페이지로 리다이렉트 악성코드 감염 개인정보 탈취 javascript 기능이 먹히는 순간 javascript로 구현가능한 모든 것이 가능해진다. 여기선 크게 3가지 XSS를 정리해볼 것이다. Stored XSS Reflected XSS DOM XSS 1. Stored XSS 사용자가 게시판에 글을 작성하면 그.. XSS 대응 방안 - htmlspecialchars 함수 저번에 풀었던 XSS CTF 문제에서 제목란에 script 태그를 넣으면 먹히고 내용에 태그를 넣으면 먹히지 않았었다. 대응 방법도 연구할 겸 이유가 뭘까? 분석해보았다. 제목은 먹힌다는 걸 알았으니, 일반 텍스트를 넣고 내용에 간단한 경고창을 띄우는 script 태그를 입력했다. 작성 성공 게시판에 잘 등록이 되었다. 이제 이걸 클릭하면?? ...아무 변화가 없이 script 태그가 그냥 글자처럼 출력이 되었다. F12를 눌러 개발자 도구를 살펴봐도 평범하게 적혀있다. 라는 게 찍히는 걸 보면 strip_tags() 함수를 쓴 것도 아닌 것 같다. strip_tags()는 모든 태그를 없애는 함수이다. script 라는 태그가 필터링 되어있는 것은 아닐까? 해서 javaScript는 대소문자를 상관하지.. [html] label 태그, article 태그 label 태그 label 태그는 for 속성을 가지고 있어 다른 요소와 결합할 때 자주 사용된다. 이때 for 속성값은 결합하고자 하는 요소의 id 속성값과 같아야 한다. label 요소는 웹 페이지에서 일반 텍스트처럼 보이지만, 마우스로 클릭할 경우 label로 연결된 요소를 곧바로 건드릴 수 있어 사용자의 편의성을 증가시킬 수 있다. ,,,,,, 등에 같이 사용될 수 있다. 10대 위 코드처럼 사용하면 "10대" 라는 글자만 클릭해도 teen 아이디를 가지는 input 태그를 클릭한 것과 같은 결과가 나온다. css 기본값 label { cursor: default; } article 태그 특정 영역을 그룹화할 때 사용한다. 블로그 티스토리 포스팅1 포스팅2 포스팅3 article 태그는 해당 페이.. [6주차] 게시판 구현 #3 - 수정, 삭제 수정 기능 이번에는 게시판 수정 기능을 구현해볼 겁니다 현재까지 구현된 기능은 게시판 리스트 구현, 게시글 읽기, 게시글 쓰기 총 3개의 기능을 구현했다. modify.php를 생성해줍니다. 일단 modify.php의 내용을 작성하기 전 write.php의 내용을 복사해서 modify.php에 붙여넣어줍니다. 왜냐면 디테일만 조금 다를 뿐, 전체적인 틀은 비슷하기 때문이죠 그리고 글 내용을 읽는 read.php 에도 수정 버튼을 만들어 버튼을 클릭하면 modify.php로 이동하도록 코딩해줍니다. 게시판에서 아무 글이나 클릭하면 이런 버튼이 생겼습니다. 그럼 이 수정 버튼에 해당 글을 수정하는 페이지를 띄울 텐데, 냅다 modify.php로 보내는 게 아니라 get 방식으로 게시글의 number 값을 보.. [6주차] 해킹 스터디 정리 - SQL Injection 복습, XSS -보고서 > 포트폴리오 1 ) 폰트 통일 ( 스타일, 크기, 색깔.) 제목부분. 본문. -> 글씨 컬러. X -> 볼드체. 굵은 글씨. -> 빨간색.? 2 ) 사진 캡쳐화면 보고서에 쓴 글씨 크기와 캡쳐한 그림의 폰트 크기가 비슷해야 함. 3 ) 풀이 과정 디테일. 코드를 타이핑해서 넣어도 되고 사진으로 보기좋게 넣어도 됨 --------------------------------------------------------- SQL Injection What? -> 임의의 SQL 질의문을 삽입해 실행하는 공격 시나리오 - 인증 우회, 데이터 추출, 변조. + WEB shell. DB : SQL 질의문. file upload. 공격 유형 - UNION - Error Based SQLi - Blind SQL.. [5주차] 게시판 구현 #2 - 게시글 읽기, 게시글 쓰기 게시판 글쓰기 간단히 글 작성폼을 만들어 테스트용 글을 만들어 작성을 눌러보았다. 쿼리문이 제대로 전달되지 않아 DB로 안가면 에러처리가 되게 해놨는데, 글쓰기 완료라고 떴으므로 DB에 잘 저장이 되었다. 실제로 SQL을 켜서 확인해봐도 글이 잘 추가되었다. 근데 게시판에서 새로고침을 아무리 눌러도 확인이 안됨.... 기존에 글 작성이 아니라 DB에 강제로 때려넣었던 1번 게시글만 확인이 된다. 일단 문제가 뭘까 싶어 DB를 보니 분명히 세션 아이디를 쿼리문에 넣게 코드를 짰는데 name이 전혀 추가가 안되고 있다. 혹시 SESSION 아이디가 안먹히나 싶어 메인 페이지에 썼던 session 아이디 확인을 해봤는데 잘되고 있었다. 혹시나 게시판 페이지에서 session이 안먹나 싶어 출력해보았지만 잘 출.. 해킹 기법 - 유튜브 해킹 전략 ** 유튜브 해킹 - 유튜버 해킹하기 매우 매우 쉽다 이유 (1) 관리자 여러명 (2) 광고, 협업 메일 -> pdf, 워드, 실행파일 게임 유튜버라면? 게임 신작 미리 리뷰 가능할까요? 실행파일 전송 * 해커들이 사용하는 유튜버들 해킹 전략 1. 크리덴셜 스터핑 유저가 사용하는 비밀번호가 다른 사이트에서도 똑같이 사용될 때 2. 피싱 유도 -> 로그인 페이지 유도 -> 2차 인증 지식기반 소지기반 3. 이메일 계정 해킹 네이버 계정 4. 악성코드 쿠키 로그인 할 필요없음 5. 제로데이 취약점 그 사이트가 문제인 경우 ** 유튜브 채널 지키기 방어 방법 (1) 2차 인증 기본 (2) word 파일 "컨텐츠 사용" x "편집 사용"x (3) 파일 압축 / 비번? -> 의심 할것 ---------------.. 이전 1 ··· 21 22 23 24 25 26 27 ··· 29 다음
