출처: dreamhack-webhacking 03. server-side basic https://dreamhack.io/lecture/courses/15 Server-side Basic - dreamhack.io 서버에서는 사용자가 요청 한 데이터를 해석하고 처리한 후 사용자에게 응답합니다. 그 과정에서 웹 어플리케이션이나 데이터베이스와 같은 서버의 자원을 사용해 처리하기도 합니다. 이 과정에서 사용자의 요청 데이터에 의해 발생하는 취약점을 서버 사이드 취약점이라고 합니다. "Introduction of Webhacking" 강의에서는 HTTP Request를 네트워크 프로그램을 통해 전송하는것을 다뤘습니다. nc나 telnet과 같은 네트워크 프로그램을 통해 HTTP Request를 보낼 때는 메소드..
출처: dreamhack webhacking 2강 client-side basic https://dreamhack.io/lecture/courses/7 Client-side Basic - dreamhack.io Cross Site Scripting (XSS) 공격자의 입력값이 크로스 사이트의 자바스크립트 일부로 웹 브라우저에서 실행되는 취약점을 말합니다. 실행된 스크립트는 해당 사이트의 일부가 되어 SOP 제약 없이 사이트의 구조를 변경하거나 임의 HTTP 요청을 보낼 수 있습니다. Cross Site Request Forgery (CSRF) 비정상적으로 사용자의 의도와 무관하게 HTTP 요청을 보내는 것을 CSRF 공격이라 합니다. Simple Request나 HTML 엘리먼트라면 SOP의 제약을 받지..
출처: dreamhack webhacking 2강 client-side basic https://dreamhack.io/lecture/courses/7 Client-side Basic - dreamhack.io 공격자는 사용자로부터 본인을 식별하기 위한 사용자 정보, 즉 쿠키나 세션에 저장된 세션 아이디를 탈취해 사용자 권한을 얻거나, 사용자의 브라우저에서 자바스크립트를 실행하는 등의 특별한 행위를 수행해 사용자가 요청을 보낸 것처럼 하는 것이 클라이언트 사이드 취약점의 주 목적입니다. 위와 같은 클라이언트 사이드 취약점이 발생할 수 있는 이유는 웹 브라우저는 Stateful한 상태를 유지하기 위해 모든 HTTP 요청에 쿠키를 함께 보냅니다. 아래는 웹 브라우저가 리소스를 요청할 때 보내는 HTTP 패킷..
출처: dreamhack webhacking 01 introduction of webhacking https://dreamhack.io/lecture/courses/6 Introduction of Webhacking 웹 서비스가 동작하는 원리와 웹 서비스를 하기 위해 필요한 기본적인 요소들에 대해 학습할 수 있습니다. dreamhack.io HTTP는 하나의 Request와 Response의 쌍이 독립적으로 구성되어 통신하는 connectionless, stateless 프로토콜입니다. - connectionless(연결단절) 속성은 하나의 요청에 하나의 응답을 한 후 네트워크 연결을 끝맺는 것을 의미합니다. 불특정 다수의 사용자에게 서비스되어야 하는 웹의 특성상 계속해서 연결상태를 유지하는 것은 서버 ..
출처: dreamhack 01.Introduction of Webhacking https://dreamhack.io/lecture/courses/6 Introduction of Webhacking 웹 서비스가 동작하는 원리와 웹 서비스를 하기 위해 필요한 기본적인 요소들에 대해 학습할 수 있습니다. dreamhack.io Web Browser (웹 브라우저) 웹에 접속하기 위해 사용하는 소프트웨어입니다. Web Resource 웹 상에 존재하는 모든 콘텐츠입니다. (HTML, CSS, JS, PDF, PNG 등) URI (URL) URI는 Uniform Resource Identifier의 약자로 리소스를 식별하기 위한 식별자입니다. HTTP (HyperText Transfer Protocol) 인터넷 ..
1.dreamhack.io/ 해커들의 놀이터, Dreamhack 해킹과 보안에 대한 공부를 하고 싶은 학생, 안전한 코드를 작성하고 싶은 개발자, 보안 지식과 실력을 업그레이드 시키고 싶은 보안 전문가까지 함께 공부하고 연습하며 지식을 나누고 실력 향 dreamhack.io 2. webhacking.kr/ Webhacking.kr Index Welcome Stranger! Chatting Notice(en) [2021-04-16] Score of old challenges has been adjusted to 1/10. For a while now, new challenges will be added "without" notice. [2020-08-12] Replace chat feature with D..
1.다운방법 portswigger.net/burp Burp Suite - Application Security Testing Software Get Burp Suite. The class-leading vulnerability scanning, penetration testing, and web app security platform. Try for free today. portswigger.net products>community version 2. 실행 전 확인사항 1. intercept is on 체크 proxy-options에서 2. Intercept requests와 Intercept responses 체크 3. 도구(or 제어판)-인터넷옵션-연결-LAN설정 (프록시서버 127.0.0.1 포트 ..
