화이트해커11 마음이 급해져만 갈 때 대학교 3학년. 아직 주변에 티나게 취준을 하는 사람은 없다. 하지만 내가 선택한 보안이라는 길을 가기에 나는 늦었지 않았나라는 생각을 계속 하게 된다. 아니 아직 늦지 않았다고 천천히 꾸준히 내 속도를 내면 언젠간 내가 바라는 꿈에 가까워져 있을거라고 믿는다. 개화의 시기는 사람마다 다르다. 그저 내가 꽃 피는 시기가 겨울일 뿐. 그렇기에 내가 더 돋보일거야. 마음을 다 잡자. 할 수 있다. 할 수 있다. 나는 할 수 있다. 2020. 9. 9. CAPTCHA 공격대응 CAPTCHA 공격에 대한 대응을 알아보겠습니다. 만약 이 공격을 처음 들어보신다면 아래 포스팅을 살짝쿵 보고 와주세요! https://com24everyday.tistory.com/41 CAPTCHA 공격 오늘은 CAPTCHA 를 공격하는 방법을 알아보겠습니다. CAPTCHA란 아래와 같이 기계가 인식할 수 없는 늘어뜨린 글씨로 사람인지 파악하는 겁니다. 회원가입이나 비밀번호 변경같이 사람이 직접하지 않으면 문제가.. com24everyday.tistory.com 소스코드 부분을 확인하면 하이 단계에서 확인했던 거처럼 디버깅 조건 부분이 사라졌습니다. 또 CSRF 기법을 대응할때처럼 현재 비밀번호를 입력을 요구하고 있습니다. 마지막으로 CAPTCHA 를 확인하는 걸 한단계로 진행하는 게 좋습니다. 어쩔.. 2020. 5. 7. CAPTCHA 공격 오늘은 CAPTCHA 를 공격하는 방법을 알아보겠습니다. CAPTCHA란 아래와 같이 기계가 인식할 수 없는 늘어뜨린 글씨로 사람인지 파악하는 겁니다. 회원가입이나 비밀번호 변경같이 사람이 직접하지 않으면 문제가 되는 상황에 쓰입니다. 하지만 이를 제대로 구현하지 않으면 해커는 이를 우회하여 공격할 수 있습니다. 비밀번호 변경이 다음과 같이 두단계로 이루어집니다. 1. CAPTCHA 확인 2. 확인 완료, 비밀 번호 변경 이렇게 인데 해커가 마치 CAPTCHA를 이미 확인한 것과 같이 꾸미는 겁니다. 자, 그럼 DVWA 로 가보겠습니다. 보안을 LOW 단계로 설정하고 비밀번호를 normal로 바꿔 보겠습니다. 변경되었다는 메세지가 나옵니다. burp-Start 로 가서 확인해봅니다. 첫번째 요청을 확인해.. 2020. 5. 7. 파일 업로드 대응 방법 파일 업로드에 대해 모르신다면 아래 포스팅으로 보고 와주세요ㅎㅎ https://com24everyday.tistory.com/39 파일 업로드 공격 오늘은 파일 업로드 공격을 배워보겠습니다. 파일 업로드 공격이란 파일이 업로드 될 수 있는 페이지에 악성 파일(웹쉘)을 업로드하는 것 입니다. 웹쉘이란 커맨드 인젝션에서 본 것과 비슷하게 웹을 통해 시스템.. com24everyday.tistory.com 보면 이미지 파일의 내용을 확인하여 겉모습만 이미지 파일인 것들을 걸러주고 있습니다. 또 다른 방법으로는 업로드 되는 파일을 랜덤하게 생성시켜서 해커가 자기가 업로드한 파일에 접근하지 못하게 하는 방법입니다. 또 업로드 서버와 웹애플리케이션 서버와 분리하는 방법이 있습니다. 이 방법들이 다 안되면 업로드 폴.. 2020. 5. 6. 이전 1 2 3 다음
