728x90
내용 간단 요약
- Open Redirect 취약점
- 링크 클릭시 유저가 깨닫지 못하게 악성 사이트로 redirect
예시:
- https://app.shopify.com/services/google/themes/preview/supply–blue?domain_name=example.com -> http://example.com/admin 로 리다이렉트
- MyShop - Account (mystore.myshopify.com -> mystore.myshopify.com.np 로 리다이렉트
- HTTP Parameter pollution(HPP)
- 첫번째 파라미터 데이터만 받아들이거나 마지막 파라미터 데이터만 받아들일 수 있다.
예시: https://twitter.com/i/u?iid=F6542&uid=2321301342&uid=1134885524&nid=22+26 : uid 파라미터 두번쓰면 마지막 하나가 데이터로 전달된다.
잘 이해되지 않는 것들
- 24페이지 3번 예시에서 hpp 개념에 대해 예시가 나와있고 zendesk 관련 파라미터가 나와있는데 그게 무슨 뜻인지 몰랐다. 스터디를 하며 사이트의 계정만들기 기능중 하나라는것을 알게 되었다.
책 외부에서 알게 된 내용
hpp 공격시 어떤 방식으로 공격을 시작할까는 구글링을 통해 찾았다.
회고
잘한 것은 무엇인가?
잘못한 것은 무엇인가?
해당 공부한 챕터의 실습이 부족했다.
아직도 안 풀린 궁금증은 무엇인가? 왜 풀리지 않았는가?
향후 어떻게 다르게 할 것 인가?
- 실습 내용을 포함한 책으로 바꾸기로 했다.
728x90
'보안공부 > 웹해킹입문-lv.0' 카테고리의 다른 글
| 0117 4장~7장 버프스위트, 정보수집, brute force, sql injection (0) | 2022.01.17 |
|---|---|
| 0112 ~71p / 1장 ~ 3장 (0) | 2022.01.17 |
| 사이트 취약점(계속 업데이트) (0) | 2021.11.08 |
| SQL injection - 로컬환경 (0) | 2021.10.31 |
| 칼리리눅스로 서버(다른 vm) 접속하기(intnet) (0) | 2021.10.27 |
