보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

Command Injection이란이름 그대로 사용자의 요청에 명령어를 삽입하여 실행하는 공격사용자가 제공하는 데이터가 적절히 검증되거나 escape 처리되지 않을 때 악의적인 명령이 시스템에 주입되어 실행되게 한다.이 취약점을 이용하여 시스템에 접근하거나 데이터를 조작하고, 심지어 시스템을 제어할 수 있다.  Command Injection 공격Enter an IP Address 부분에 IP 주소를 입력하면 ping이 보내진다. 먼저 정상적인 IP 주소 1.1.1.1을 포함&&는 쉘에서 "이전 명령이 성공적으로 실행된 후, 다음 명령을 실행하라"는 의미를 가지고 있기 때문에 cat /etc/passwd 명령이 실행되어 시스템의 사용자 계정 정보가 포함된 /etc/passwd 파일의 내용을 출력하게 된다..

SQL Injection이란일반적으로 공격자가 웹서버의 중요 정보를 탈취하기 위하여 가장 자주 사용하는 공격 방법 중의 하나사용자의 입력을 데이터 베이스의 쿼리에 반영되도록 구성된 시스템의 취약점을 이용한 공격주로 입력값이 제대로 필터링되지 않은 상태에서 SQL 쿼리에 그대로 포함될 때 발생됨  SQL Injection 공격공격 대상 페이지의 User ID에 먼저 알파벳을 넣었을 때 아무 반응이 없었고 1, 2, 3, 4..... 숫자를 ID로 입력했을 때 위와 같이 ID와 First name, Surname이 확인이 가능하다.따라서 정상적인 경우 User ID와 일치하는 경우 해당 정보가 출력되는 것을 알게 되었다.  User ID 기반 사용자를 조회할 수 있었던 페이지를 대상으로 SQL Injecti..

Stored XSS란공격자가 공격 Script를 웹사이트에 저장해 두거나 게시판 등의 게시글 등에 저장해 둔 후 사용자가 해당 페이지에 접속하거나 게시글을 클릭하였을 경우 실행되도록 하는 공격해당 공격을 성공적으로 실행하려면 공격자는 웹 애플리케이션의 취약점을 찾은 후 악성 스크립트를 해당 서버에 삽입해야 함주입된 스크립트가 데이터베이스, 메시지 포럼, 방문자 로그, 댓글 필드 등과 같이 대상 서버에 영구적으로 저장됨지속성웹 애플리케이션의 데이터베이스나 파일 시스템 등에 악성 코드가 저장되어 있기 때문에 이후 다른 사용자가 해당 데이터를 요청할 때도 스크립트가 실행됨감염된 페이지를 볼 때마다 악성 스크립트가 피해자의 브라우저로 전송됨가장 흔한 대상은 블로그, 소셜 네트워크, 비디오 공유 플랫폼, 메시지 ..

Reflected XSS 란Cross Site Scripting(XSS)공격웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어짐 → 스크립트 형태로 다른 최종 사용자에게 악성 코드를 보냄웹 애플리케이션이 사용자로부터 입력받은 값을 제대로 검사하지 않을 경우 발생Reflected XSS 공격XSS 공격 방법 중 하나사용자가 입력한 URL이나 Parameter , Cookie 등을 기반으로 Script 가 실행되도록 하는 공격악성 스크립트가 웹 애플리케이션에서 피해자의 브라우저로 반사될 때 발생이 공격은 사용자가 클릭한 링크를 통해 활성화되..