분류 전체보기39 악성코드의 이해 * 악성코드 - 사용자의 의지와 관계없이 시스템에 상주해 시스템 자원을 사용하거나 사용자에게 피해를 입히는 프로그램을 총칭 * 악성코드의 종류유형종류Virus다른 파일을 감염해 기생하는 악성코드 (Virut, sality)Worm네트워크를 통해 자가 복제 및 타 시스템을 감염시키는 악성코드 (Wannacry, Blasterworm 등)Trojan외형적으로는 정상 프로그램 같아 보이지만 시스템 파괴 등의 악의적인 행위를 포함하고 있는 악성 프로그램Downloader추가적인 악성코드를 다운로드 받아 실행하는 악성코드Dropper추가적인 악성코드를 생성하고 실행하는 악성코드Backdoor시스템에 상주하면서 서버로부터 명령을 받아 명령에 따른 악성행위를 수행하는 악성코드Rootkit & Bootkit시스템에 설.. 2024. 5. 2. 웹 어플리케이션 보안 개요 - 주요 보안 약점 11가지 1. SQL Injection 원인 DB와 연동된 웹 앱에서 입력된 데이터에 대한 유효성 검증을 하지 않고 입력값을 DB쿼리의 일부로 사용하는 경우 영향 1. 인증을 우회해서 시스템에 로그인할 수 있음2. 조작된 쿼리를 이용해 권한 없는 사용자에게 DB데이터가 유출되거나 삭제될 수 있음3, 원격으로 시스템 명령어를 수행할 수 있음 대응 1. 정적쿼리를 사용하여 쿼리문의 구조가 바뀌지 않도록 한다.2. 동적쿼리를 사용해야 하는 경우에는 입력값에 대한 쿼리문의 구조를 변경할 수 있는 문자열을 검사한 뒤 쿼리문에 사용한다.3. DB에 접근하는 웹 앱의 접근권한을 최소화해야한다.4. Internal Error(500) 페이지에 대한 오류 정보를 노출시키지 않아야 한다. 2. 운영체제 명령어 삽입 원인검증.. 2024. 5. 2. [bWAPP] Broken Auth. - Insecure Login Forms * Broken Auth. - Insecure Login Forms - 웹 사이트 로그인 페이지의 로그인 폼이 안전한지 검증 #1.ID는 입력되어 있음. PW가 무엇인지 알아보기 #2. 개발자도구로 소스코드 확인form 태그에 action 속성이 없으므로 로그인처리를 서버단에서 처리하지 않음을 알 수 있음Unlock 버튼을 클릭하면 unlock_secret() 함수를 호출 #3.head 태그 아래에서 해당 자바스크립트 코드를 확인 가능함secret 변수는 bWAPP 변수 값의 문자열에서 재조합한 값임charAt() 함수는 문자열에서 특정 인덱스에 위치하는 문자를 반환함 #4.개발자도구 console에서 secret 변수의 값이 “hulk smash!”임을 알아낼 수 있음 #5. 패스워드에 .. 2024. 4. 30. [bWAPP] 모의해킹 실습 사이트 환경 구축 방법 (윈도우 파워쉘에서 진행함) 1. wsl 에서 linux 설치PS C:\WINDOWS\system32> wsl.exe --list --online다음은 설치할 수 있는 유효한 배포판 목록입니다.'wsl.exe --install '를 사용하여 설치합니다.NAME FRIENDLY NAMEUbuntu UbuntuDebian Debian GNU/Linuxkali-linux Kali Linux RollingUbuntu-18.04 Ubuntu 1.. 2024. 4. 29. 이전 1 2 3 4 ··· 10 다음
