농소

XSS는 Cross-Site Scripting의 약자로 웹 게시판이나 웹 메일 등에 스크립트 코드를 넣어 개발자가 원하지않는 행위를 만들게 하는 치명적인 공격기법중 하나이다. 이번 게시글은 위 공격기법을 이용하여 악성 스크립트가 삽입된 웹 서버에 접속한 사용자들을 대상으로 악성코드가 심어진 실행파일( 여기서는 쉘코드로 대체하겠다. )을 실행시키도록 하여 관리자 권한을 획득하여 키로거를 실행시키는 것을 해보도록 하겠다. 먼저 Kali 리눅스로 칼리리눅스 쪽으로 원격접속하도록 하는 쉘코드를 만들도록 하자 칼리리눅스(공격자)쪽으로 원격접속 하도록 하는 update.exe라는 실행파일을 만들었다. 해당 악성 실행파일이 제대로 적용되는지 확인을 해보자 meterpreter를 실행시키고페이로드를 설정해줍니다. 네트..

간단한 인젝션 공격 및 상품 가격을 변조하는 공격을 해보고자 합니다 해당 웹 쇼핑몰은 취약점이 있는 쇼핑몰로 정보보안 교육용으로서 해당 이미지를 사용하여 실습해보겠습니다. 우선 프록시 프로그램인 Burp Suite를 실행시키고 intercept를 off로 해둡니다. 우선 쇼핑몰 메인 페이지 입니다. 회원가입 없이 간단하게 injection을 해봅니다 해당 쇼핑몰의 로그인시도 질의는 SELECT ID,PW FROM USER WHERE ID=' ' AND PW=' '로 되어있습니다 앞서 말했듯이 공부용으로 만든 사이트 이므로 이러한 질의는 injection 공격에 아무런 방어책을 설정하지 않았기 때문에 쉽게 공격에 노출이 됩니다. [ ID = 1' or 1=1# ] // #은 DB에서 주석을 의미 [PW =..