어 나 정현욱.

DVWA ( Damn Vulnerable Web Application ) 취약점 진단 및 모의 해킹을 공부/실습할 수 있도록 만들어진 웹 애플리케이션 XSS ( Cross Site Scripting ) JavaScript와 같은 스크립트 코드를 이용하여 개발자가 의도하지 않은 기능을 작동하게 하는 웹 해킹 기법입니다. CSS가 맞지만 이미 Cascading Style Sheets의 약어이기 때문에 XSS라고 부릅니다. ( XSS는 클라이언트 단에서 공격하는 Client Side 공격 중 하나입니다. ) XSS의 종류에는 크게 Reflected, Stored, DOM based 종류가 있습니다. 오늘 포스팅에는 이 중에서 Reflected에 대해 알아보겠습니다. 😉 이름을 입력하면 웹 페이지에 "Hello..

DVWA ( Damn Vulnerable Web Application ) 취약점 진단 및 모의 해킹을 공부/실습할 수 있도록 만들어진 웹 애플리케이션 Command Injection 개발자가 의도치 않은 명령어를 실행하는 해킹 기법입니다. 이해하기 쉽도록 예시를 들어 설명하겠습니다. 서버에 저장된 특정 파일을 읽는 웹 서비스입니다. 위 그림에서는 list.txt 파일을 읽으려는 정상적인 요청을 하고 있습니다. 위와 같은 요청을 받게 되면 서버에서는 cat list.txt 명령 실행 후에, 나온 결과 값을 사용자에게 반환해 줍니다. 위 그림은 Command Injection을 시도하는 모습입니다. 정상적인 입력값이 아닌 악의적인 구문을 입력하고 있습니다. 실행 결과를 보시면, cat 1 명령어와 echo ..

DVWA ( Damn Vulnerable Web Application ) 취약점 진단 및 모의 해킹을 공부/실습할 수 있도록 만들어진 웹 애플리케이션 Write Up Brute Force 무차별 대입 공격이라고 불리는 해킹 기법입니다. 예를 들어보겠습니다. 비밀번호가 "0715"로 설정된 도어락과 그 도어락을 뚫으려고 하는 정X직이 있습니다. 정X직은 도어락을 뚫기 위해 모든 경우의 수를 모두 입력해보고 있습니다... 위와 같이 가능한 값을 모두 대입해 보는 공격이 Brute Force 공격입니다. Brute Force 공격을 통해서 admin의 패스워드를 알아보겠습니다. 먼저 admin / test ( 임의의 값 )을 입력한 뒤, Burp Suite를 이용하여 Request를 Intercept 해서 복..