본문 바로가기
반응형

WEB HACKING56

Oracle Cloud : XSS(Cross-Site Scripting) 실습 Stored XSS 실습에서 로컬이 아닌 내 own 서버로 쿠키 탈취를 해보고 싶다는 일념 하나로 시작한 Oracle VM 생성기! Oracle 등록에서 실제 쿠키 탈취에 성공하기까지... "왜 안되지?ㅠㅠ"만 3일 동안 외친 것 같다. 이번 포스팅에서는 서버에 nginx와 php 설치해서 실제 쿠키 탈취를 실습해볼 것이다. ① Oracle 쉘 접속하기 저번 포스팅에서 Oracle Free Tier에 등록하고, 쉘에 접속하는 것까지 완료하였다. 이전 포스팅 : [모의해킹_실습] - Oracle Free Tier : 등록 & 접속 ② nginx 설치 및 포트 열기 우리의 서버를 웹 서버로 활용하기 위해 nginx를 설치해준 후, 포트를 열어주자. (이때가 고생의 시작인 것을.. 나는 알지 못했다... 그냥.. 2022. 1. 28.
Oracle Cloud : Free Tier 등록 & 접속 오로지 XSS 실습을 직접 해보고 싶다는 일념 하나로 시작된 oracle cloud 서버 만들기!! 아직 클라우드나 네트워크 쪽 지식이 없는 나이기에 단계 하나하나가 장벽이었다...! Oracle Cloud 등록, 접속과 nginx 설치, php 설정 두 포스팅으로 나누어 XSS 쿠키 탈취를 실습해보자!! ① Oracle 회원가입 Oracle Free Tier를 사용하기 위해서 회원가입을 먼저 진행하자. 계정 정보를 입력하고 메일 인증을 하면, 비밀번호 및 서버 위치를 선택하는 Form을 작성해야 한다. 서울과 도쿄는 이용자가 많다는 경고가 뜨길래 나는 싱가포르로 설정했다. 서버 위치는 나중에 변경할 수 없기 때문에 신중히 결정해야 한다. 무료 체험이 끝난 후 계정을 업그레이드할 경우를 위해 카드를 등록.. 2022. 1. 27.
Php로 웹 개발하기 : 문의 게시판(5) 이제 웹 개발이 거의 마무리되었다. Q&A 게시판의 잔기능들을 마무리 짓고, 관리자의 댓글 다는 기능만 구현하면 웹 개발은 끝이다! 메인 페이지를 조금 정리하고, 데이터를 삭제하는 기능에서 테이블의 id를 정렬하는 등 추가적인 보완만 하고 웹 해킹 공격 이론에서 다뤘던 대응 방안을 적용해 볼 것이다. [qna_read.php] 문의 게시판 2021. 12. 31.
Php로 웹 개발하기 : 문의 게시판(4) ① 문의글 확인 권한 문의글은 기본적으로 자신이 작성한 글만 확인이 가능하게 구현할 것이다. 회원의 경우 세션 아이디를 확인해서 글의 작성자인지 확인하면 되지만, 비회원의 경우 글을 작성할 때 입력했던 비밀번호를 다시 입력해서 검증할 수밖에 없다. 하지만 자바스크립트와 php의 실행 순서 차이 때문에 prompt를 띄우기가 어려워서, 비밀번호를 인증하는 페이지로 넘겨준 후, 인증 페이지에서 인증에 통과하면 qna_read.php로 넘기는 로직을 구현해주었다. [qna_check.php] qna_board.php에서 qna_read.php로 바로 연결되던 부분을 qna_check.php로 바꿔주었다. 1) admin이면 바로 qna_read.php로 넘긴다. 2) 회원이자 글의 작성자면 qna_read.p.. 2021. 12. 27.
인증, 인가 취약점 인증과 인가 취약점은 말 그대로 인증과 인가가 불충분해서 발생하는 취약점이다. 인증과 인가의 개념과 대응방안에 대해 알아보자. ① 인증(Authentication) 인증은 자신이 A라고 주장하는 사람이 실제로 A가 맞는지 확인하는 과정으로 로그인 인증, 본인 인증, 휴대전화 인증, 카드 인증 등을 예시로 들 수 있다. 인증이 불충분하다면, 사용자를 식별하는 과정에서 우회나 변조가 발생할 수 있다. 인증 우회는 대표적으로 XSS을 통한 세션을 탈취나 중간자 공격(MITM : Man In The Middle attack)을 통해 발생할 수 있다. [대응방안] 만약 개인정보를 확인할 수 있는 페이지에서 인증 프로세스가 제대로 구현되지 않는다면, 세션을 탈취하는 것만으로 개인정보에 접근하거나 정보를 수정할 수 .. 2021. 12. 26.
Php로 웹 개발하기 : 문의 게시판(3) ① 문의글 확인 기능 우선 문의글을 읽을 수 있는 페이지를 만들어야 한다. 이 페이지에서는 문의글을 수정 및 삭제할 수 있으며 관리자의 경우 댓글을 달 수 있다. [qna_read.php] 문의 게시판 2021. 12. 23.

티스토리툴바