![]()
먼저 난이도는 Low로 설정한다.그리고 왼쪽 메뉴에서 XSS (Stored)를 선택한다. 그럼 다음과 같은 화면이 나타난다. Stored XSS는 웹 페이지의 게시판 같은 곳을 주로 공략한다.게시판을 통해 악성 스크립트를 서버에 저장하고 사용자가 이 곳을 방문하면 실행되도록 한다.1. Low 레벨에서의 Stored XSS 공격 게시판에 다음과 같이 입력하자. Name은 아무거나 입력하면 된다. 필자는 stored XSS로 입력했다.Message에는 악성 스크립트를 넣으면 된다.아래 세 개 중 하나를 선택해 넣어보자.스크립트에 대한 설명은 이전에 남긴 Reflected XSS 게시물을 참고하자. 그런데 한 가지 문제가 있다.Name에는 입력할 수 있는 글자 수가 제한이 되어 있는 것이다. 이럴 때는 다음..
![]()
본 실습은 DVWA에서 실행할 예정이다.DVWA 설치에 대해서는 아래 게시물을 참조하자. [웹 해킹] 1. 웹 해킹 연습을 위한 DVWA 설치하기웹 해킹 연습을 위해 아무 사이트나 해킹하는 것은 엄연한 불법이다.하지만 그렇다고 해서 연습을 안 할 수는 없는 법. 이 때 사용하는 것이 DVWA이다. DVWA(Damn Vulnerable Web Application)은 웹 보안 교mr-relax.tistory.com먼저 왼쪽 메뉴에서 Reflected XSS를 클릭해 보자. 들어가면 다음과 같은 화면을 볼 수 있다. 이름을 입력하면 입력한 이름을 반환하는 형식의 사이트이다. 다음과 같은 결과를 보여준다. 1. Low 단계에서의 Reflected XSS 공격 먼저 DVWA 난이도를 Low로 설정한다.난이도..
XSS(Cross Site Scripting)XSS는 공격자가 작성한 스크립트를 피해자의 웹 브라우저에서 실행하는 해킹 방법이다. 쿠키나 개인 정보를 훔치거나,악성 웹 사이트로 리디렉션하거나, 악성 코드를 감염시키는 등피해자의 브라우저에서 원하는 동작 수행이 가능하다. XSS에는 세 가지 방법이 있다.오늘은 여기에 대해 먼저 알아보도록 하자. 1. 반사형 XSS(Reflected XSS) 피싱 등의 방법을 사용해 특정한 사용자를 대상으로 공격하는 방법.사용자가 피싱 메일이나 잘못된 웹 사이트 링크를 클릭하면 악성 스크립트가 삽입된 요청을 특정 서버에 전달한다.서버는 이를 그대로 응답하여 브라우저에서 실행하는 형식이다. 2. 저장형 XSS(Stored XSS) 악성 스크립트가 담긴 게시물을 등록해 서버에 ..
SQL 인젝션 공격을 방지하기 위해 Prepared Statements를 사용할 수 있다. Prepared Statements는 데이터베이스와 상호 작용할 때SQL 쿼리와 데이터를 분리하여 SQL 인젝션 공격을 방지할 수 있다.일반적인 SQL 쿼리는 사용자가 입력한 값을 직접 포함한다.이 때문에 공격자가 악의적인 입력을 삽입하면 데이터베이스가 오작동할 수 있다.Prepared Statements는 쿼리와 데이터를 분리하여 이러한 문제를 해결한다.SQL 인젝션에 취약한 코드를 보자.$id = $_GET[‘id’]; //사용자가 입력한 값을 변수 $id에 저장한다.$query = “SELECT first_name, last_name FROM users WH..
![]()
SQL 인젝션(Injection)은 웹 해킹 공격 중 하나로공격자가 악의적인 SQL 코드를 입력하여 데이터베이스 쿼리를 조작해 데이터베이스를 공격하는 것이다.이를 통해 공격자는 데이터베이스에 있는 데이터를 가져오거나 수정하거나 삭제할 수 있다.또한 나아가 인증을 우회하거나 관리자 권한을 획득할 수도 있다. SQL Injection은 실제 해킹 방법으로 상용 웹페이지에 사용하는 것은 엄연한 불법이다.연습용 서버를 준비하거나 DVWA를 이용하자.DVWA에서 SQL 인젝션 공격을 실행해 보자.인젝션 공격 실행 전, 먼저 난이도를 Low로 변경해야 한다. 초반 설정인 Impossible에선 공격이 통하지 않기 때문이다.난이도 변경 방법은 이전 포스팅을 참고하자. [웹 해킹] 2. DVWA 보안 난이도 조정하기D..
![]()
DVWA를 실행하면 다음과 같은 화면이 나타난다.우선 왼쪽 메뉴 중 DVWA Security를 클릭하자. 여기서는 DVWA의 보안 난이도를 정할 수 있다.지금은 Impossible로 되어 있는데 이 난이도는 해킹이 거의 불가능하다.먼저 난이도를 낮춰 보자.Impossible을 클릭하면 다음과 같이 옵션이 나온다. Low - Medium - High - Impossible 순으로 난이도가 올라간다. 지금은 맨 위에 있는 Low를 선택하자.가장 보안이 취약하고 뚫기 쉬운 난이도이다. 다음 시간에는 SQL Injection을 사용한 웹 해킹에 대해 다뤄 보겠다.
