728x90 분류 전체보기491 CSRF 공격대응 만약 CSRF 를 모르신다면 https://com24everyday.tistory.com/34 CSRF공격 오늘은 CSRF 공격에 대해 배워보겠습니다. CSRF는 Cross Site Request Forgery 의 약자로 사이트 간 요청 위조로 해커들이 피싱을 활용하여 사용자 모르게 패스워드를 변경하거나 하는 공격기법입니다. 피 com24everyday.tistory.com 포스팅을 보고 와주세요! 보안 단계를 impossible 로 바꿔 주세요. 보면 현재 패스워드를 추가입력해야합니다. 이러면 해커가 기본의 패스워드를 알고 있지 않은 한 공격을 할 수 없습니다. CSRF에 가장 좋은 대응 책은 이와 같이 주요한 기능에는 현재 패스워드 추가 입력을 한다거나 CAPTCHA 같은 것을 이용해서 사용자가 직접.. 2020. 5. 3. CSRF공격 오늘은 CSRF 공격에 대해 배워보겠습니다. CSRF는 Cross Site Request Forgery 의 약자로 사이트 간 요청 위조로 해커들이 피싱을 활용하여 사용자 모르게 패스워드를 변경하거나 하는 공격기법입니다. 피싱이라는 것은 사회 공학 기법 중 하나로 이메일이나 게시판을 이용해 은행이나 대기업인 척 하면서 사용자들을 낚는 것 입니다. 옥션 해킹 사건에서 이용된 공격이기도 합니다. CSRF 공격 단계 1. 정상 접송 및 로그인 2. 해커의 피싱 (ex : 클릭하여 보안 강화 바랍니다.) 3. 패스워드 변경 요청 (사용자도 모르게 패스워드 변경) 4. 변경된 패스워드로 접속 피싱만 하면 난이도 자체는 쉬운 공격에 속합니다. 하지만 피싱을 당할때 사용자가 로그인이 되어 있어야합니다. 요즘 같은 경우.. 2020. 5. 3. 커맨드 인젝션 공격 대응 https://com24everyday.tistory.com/32?category=1114111 커맨드인젝션 공격 안녕하세요. 부산 공수니입니다. 오늘은 '커맨드 인젝션'에 대해 알아보겠습니다. 바로 Go. 컨맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹을 통해 시스템 명령어를 실행하는 공격입니다. 만약 웹 내부에서 시스.. com24everyday.tistory.com 커맨드 인젝션 공격 대응을 알아보겠습니다! 커맨드 인젝션을 잘 모르시는 분은 위 포스팅으로 갔다와주세요ㅎㅎ 커맨드 인젝션에 가장 좋은 대응 방안은 입력 값이 적절한 값인지 조사하는 것 입니다. DVWA 에서 했듯이 IP 주소를 입력받는 거라면 입력값이 실제로 IP 주소인지 검증하는 과정이 들어가면 좋습니다. DVWA 의 'impossibl.. 2020. 5. 2. 커맨드인젝션 공격 안녕하세요. 부산 공수니입니다. 오늘은 '커맨드 인젝션'에 대해 알아보겠습니다. 바로 Go. 컨맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹을 통해 시스템 명령어를 실행하는 공격입니다. 만약 웹 내부에서 시스템 명령어를 실행하는 경우 검사를 거치지 않는다면 해커 마음대로 시스템을 조작할 수 있게 됩니다. -커맨드 인젝션 공격 실습 *ping : IP 주소를 가진 어떤 시스템이 현재 동작하고 있는지 사용하는 명령어입니다. Security 를 'low'로 설정하고 Comman Injection 으로 갑니다. '127.0.0.1'을 입력해봅니다. 소스 코드를 확인해 보겠습니다. shell_exec : 시스템 명령어 내리는 함수 $target -> request : 웹 요청으로 부터 전달된 'ip' 값임을 알 수.. 2020. 5. 2. 이전 1 ··· 113 114 115 116 117 118 119 ··· 123 다음 728x90
