Web_Hacking (12) 썸네일형 리스트형 3.cookie-basic ▶ 제공되는 웹페이지 확인 ▶ 제공되는 코드 확인 guest, amdin 계정확인 가능 및 해당 ID,PW 접속가능 확인 cookie값에 대한 검증X -> admin계정으로 접근 시, flag 나올 것이라 예측 ▶ Cookie값 변경 guest계정으로 로그인 후, cookie값(username)을 admin으로 변경 [모든 자료에 대한 저작권은 dreamhack.io에 있으며, 본 게시물은 공부한 내용을 기록하는 목적으로 작성되었습니다. ] 2. session-basic ▶ 제공되는 웹페이지 확인 ▶ 제공되는 코드 확인 guest, user, amdin 계정확인 가능 및 해당 ID,PW 접속가능 확인 코드 하단부분 /admin page 확인가능 해당 Page 접근 시, session 값으로 추정되는 값 확인가능 ▶ Session값 대입 [모든 자료에 대한 저작권은 dreamhack.io에 있으며, 본 게시물은 공부한 내용을 기록하는 목적으로 작성되었습니다. ] 1. devtools-sources ▶ 제공되는 웹페이지 확인 ▶ Ctrl+shift+F (코드 전체 검색) [모든 자료에 대한 저작권은 dreamhack.io에 있으며, 본 게시물은 공부한 내용을 기록하는 목적으로 작성되었습니다. ] CSRF ▶ CSRF(Cross Site Request Forgery) 사용자가 자신의 의지와 무관하게 공격자가 의도한 행동을 해서 특정 웹 페이지를 수정, 삭제 등의 작업을 하게 만드는 공격 기법 임의 이용자의 권한으로 임의 주소에 http 요청을 보낼 수 있는 취약점 CSRF 공격에 성공하기 위해서는 공격자가 작성한 악성스크립트를 이용자가 실행해야 함 이는 공격자가 이용자에게 메일을 보내거나 게시판에 글을 작성해 이용자가 이를 조회하도록 유도하는 방법 등이 있음. ▶ 공격기법 URL 뒤에 공격자가 의도한 특정 단어/주소를 이어붙이는 형식 소스코드를 분석 - 사용자가 패스워드 변경페이지/타 시스템과 로그인 연동주소 패턴 파악 해당 취약점을 이용하여 공개된 게시판 / 피씽 메일을 발송하여 공격 http://exa.. 이전 1 2 다음
