728x90 전체 글205 THM: Intro to Cross-site Scripting Jr Penetration Tester > Introduction to Web Hacking > Intro to Cross-site Scripting 클라이언트-서버 요청, 응답에 대한 기본 이해가 있으면 좋을 것이라고 한다. 개인적으론 이론상으로 계속 공부를 해와서 큰 어려움은 없었다. DOM based XSS가 여전히 잘 이해가 안가긴 하지만.. XSS는 악의적인 자바 스크립트 코드가 해커에 의해 웹앱으로 삽입되는 공격을 말한다. 해당 강의에서는 어떻게 XSS 페이로드를 만들고, 페이로드를 수정하고, 이에 대해 실습하는 시간을 가질 예정이다. 페이로드(Payload) : 타겟 컴퓨터에서 실행하고자 하는 자바스크립트 코드이때 페이로드에는 두가지가 부분이 존재하는데, 하나는 intention, 하나는 .. 2025. 6. 8. THM: Intro to SSRF Jr Penetration Tester > Introduction to Web Hacking > Intro to SSRF SSRF = Side Request항목SSRFRFI뜻서버가 공격자가 지정한 URL로 요청을 보내도록 유도서버가 공격자가 지정한 URL의 파일을 include(포함) 하도록 유도목적내부망 접근, 메타데이터 조회, 포트스캔, 내부 서비스 공격외부 파일을 서버에 포함/실행하여 명령 실행 등이용 함수curl, file_get_contents(), fetch() 등 요청 관련 함수include(), require() 등 파일 불러오는 함수주요 피해- 내부망 접근 (ex. 127.0.0.1:8000) 핵심 차이점구분SSRFRFI서버가 요청하는가?✔️ 서버가 요청만 함 (데이터 가져오기)✔️ 요.. 2025. 6. 8. THM: File Inclusion Jr Penetration Tester > Introduction to Web Hacking > File Inclusion 전부터 좀 공부해보고 싶었던 파일 삽입(실행, 포함) 취약점을 공부해보려고 한다. 일반적으로1. LFI (Local File Inclusion): 로컬 파일 포함 취약점2. RFI (Remote File Inclusion): 원격 파일 포함 취약점3. 디렉터리 트래버설 (Directory Traversal)이 포함된다. 웹 애플리케이션은 img, txt 같은 정적 파일에 접근하고자 파일 경로를 요청하도록 작성됨. 파일 요청은 보통 url에 포함된 parameter를 이용함. (url에 붙는 query string이 파라미터에 해당) 이렇게 ? (물음표) 뒤에 오는 것들이 parame.. 2025. 6. 7. THM: IDOR Jr Penetration Tester > Introduction to Web Hacking > IDOR IDOR에 대해 공부해보자.IDOR 이란? Insecure Direct Object Reference의 줄임말로, 직접 객체 참조 취약점을 의미한다. 접근 제어(Access Control)가 제대로 이루어지지 않아 사용자가 권한이 없는 다른 사람의 데이터나 리소스를 볼 수 있는 취약점.웹사이트에서 URL이나 요청 파라미터에 직접 숫자나 ID값을 넣어서 특정 데이터를 가져올 때, 서버가 그 요청이 권한이 있는 사용자인지 제대로 확인하지 않으면 생기는 문제라고 할 수 있다. 예를 들어, http://secu/profile?user_id=1234가 내 user_id인데, 숫자를 조금만 바꾸면 다른 사람의 .. 2025. 6. 5. 이전 1 2 3 4 5 6 ··· 52 다음 728x90
