해킹/해킹 기법 32
[2주차] 로그인 우회 풀이 - 불충분한 세션 관리 취약점

** 불충분한 세션 관리 취약점 : 웹 상에서 사용자가 로그인을 할 시,매번 동일 세션 id 발급 (또는 일정 패턴 존재) 또는, 세션 타임 아웃을 너무 길게 설정한 경우, 공격자에 의해 세션이 탈취될 수 있는 취약점 ------------------------------------------------------------------------------------ 로그인 화면을 분석해보자 ctrl +shift+del을 눌러 쿠키를 제거한 후, 새로고침을 하면 기본적으로 이 페이지가 처음에 어떤 페이지들을 불러오는지를 볼 수 있다. 주어진 아이디와 비밀번호를 가지고 로그인을 시도해보면 loginProc.php 가 불려오면서 index.php로 넘어가는 것을 볼 수 있다 처음에는 mario 계정으로 접속..
해킹/해킹 기법 2023.04.07

특이한 해킹 기법 : 피로 공격/돌핀 어택 /스테가노그라피

MFA 피로 공격 2차 인증을 뚫기 위해서 새벽 1시-2시 사이 "본인이 계정에 접속한 것이 맞습니까?" 라는 알림이 계속 울리게 해서 예 버튼을 클릭하는 실수를 유발하는 공격. 실수를 한번만 해도 해킹당함 이게 말이 돼? 라고 생각하겠지만 이런 실수를 유발하는 해킹 기법이 의외로 매우 효과적이라고 한다. 돌핀 어택 인간의 가청 영역 주파수를 이용한 공격 기기에 인간이 들을 수 없는 초음파로 메시지를 보내면 시리나 알렉사가 작동되었다고 2017년 당시 중국 즈장 대학 연구팀에서 발표했다. 이 공격은 인간의 음성 명령을 20kHz이상의 초음파 주파수로 변환하는 방식으로 작동한다. 음성 제어 하드웨어 2m안에 접근하면 공격이 성공할 수 있고 더 고성능의 장비를 이용하면 그 거리를 더 늘릴 수 있다고 한다. ..
해킹/해킹 기법 2023.04.04
1 2 3 4
더보기

티스토리툴바