Web Hacking27 [ Protocol ] 프로토콜 문서 기본 지식 우리는 살면서 많은 프로토콜을 접한다. Http, Ip, tcp 등의 프로토콜들. 이 프로토콜은 누가 정하고 있는 걸까? RFC : 표준 RFC 문서는 프로토콜을 정하는 표준이다. 이 문서를 바탕으로 프로토콜이 완성된다. RFP : 제안서 RFP 문서는 RFC 에 내미는 제안서이다. 이 제안서를 채택하여 RFC를 제작한다. 자주 보이는 RFC 문서 - TCP : RFC 793 - UDP : RFC 768 - IP : RFC 791 - Http : RFC 2616 RFC 지정 기관 IETF : 국제 인터넷 표준화 기구 IESG : 인터넷 기술 관리 그룹 IAB : 인터넷 아키텍처 위원회 그 외의 주요 기관 ICANN : 국제 인터넷 주소 관리 기구 ISOC : 인터넷 소사이어티 ITU : 국제 전기 통신 연합 2020. 4. 3. [ Bee-Box ] 기타 Injection - OS 커맨드 injection OS command Injection? OS 커맨드 인젝션이란 취약한 변수로 시스템 명령어를 주입하여 서버 운영체제에 접근하는 공격입니다. 보통 웹 페이지에서 서버의 시스템 쉘을 호출할 때 관리자가 의도한 명령어가 아닌 다른 명령어를 주입하여 서버의 정보를 알아냅니다. 여기서, 쉘이라는 개념이 익숙하지 않으신 분들을 위해 잠시 쉘을 간단하게만 설명하고 가겠습니다. Shell? 쉘이란 사용자에게 입력받은 명령어를 기계어로 번역하여 커널에게 전달하는 명령어 해석기입니다. 커널과 사용자를 이어주는 일종의 매개체라고도 볼 수 있습니다. OS 커맨드 인젝션은 공격자가 취약한 변수에 악의적인 코드나 명령어를 삽입하면 서버가 악의적인 코드를 실행하거나 명령어를 입력한 결과를 출력하는 흐름으로 진행됩니다. OS com.. 2020. 3. 30. [ Bee-Box ] 기타 Injection - iframe injection iframe 은 HTML 문서 안에서 또 다른 HTML 문서를 출력하는 태그입니다. 그중에서도 iframe 인젝션은 독립적이여서 자주 사용되는 html injection 입니다. 악성 URL을 삽입해 사이즈를 0으로 설정하는 등으로 숨기는 방법으로 사용합니다. iframe.php 페이지는 url에 변수가 노출되어 있습니다. 파라미터는 ParamUrl, ParamWidth, ParamHeight 으로 ParamUrl은 주소를 받아오고, ParamWidth와 ParamHeight은 내용을 출력한 크기를 지정합니다. 기타 Injection - iframe injection low(하) 단계 iframe 인젝션 공격 페이지에서 F12를 눌러 개발자 도구를 열겠습니다. iframe 태그를 사용해서 robots.t.. 2020. 3. 30. [ Bee-Box ] HTML Injection - Stored(Blog) 안녕하세요. 오늘은 html injection 마지막인 stored (blog) 포스팅을 해보도록하겠습니다. HTML Injection - Stored(Blog) low(하)단계 이 페이지는 블로그 형식입니다. 먼저 h1 태그를 이용해서 태그 방식이 먹히는지 테스트해보도록하겠습니다. submit을 눌러 입력합니다. 이렇게 태그가 제대로 인식되는 것을 확인할 수 있습니다. 조금 더 응용해볼까요? 비박스의 다른 페이지를 개발자도구를 이용해서 따오도록하겠습니다. 참고로 크롬에서 개발자도구를 사용하려면 F12 키를 누르면 됩니다. 태그를 넣어보도록 하겠습니다. 제대로 넣어진 것을 확인 할 수 있습니다. 만약 저기에 폼태그를 만들어놓고 submit 버튼도 넣는다면, 사용자가 입력한 값이 공격자가 원하는 곳으로 보.. 2020. 3. 29. 이전 1 2 3 4 ··· 7 다음
