반응형 프로그래밍194 [WEB HACKING] Blind SQL injection / 상황별 실습 ( 하나의 행만 출력되는 상황 / 컬럼이 하나도 출력되는게 없는 상황 / 참과 거짓도 확인이 안되는 상황 ) Blind SQL injection / 상황별 실습에 대해서 정리한다. - 타겟 페이지에서 한줄의 행만 출력이 되는 상황 * 타겟 페이지가 while()을 사용하지 않을때 union select로 실행되는 뒤에 결과인 두번째 행부터는 확인이 불가능하다. ( union select 1,2,3을 추가시켜서 실행해보면 타겟 사이트가 반복문을 사용하지 않고mysql_fetch_row도 한번바께 사용하지 않기 때문에 첫번째 행만 실행이 되는걸 확인 할 수 있다.. ) ( 이런 상황에서 다른 행의 정보를 알아내는 방법은 order by를 이용하여 여러 컬럼을 기준으로 정렬을 해주면서 정보를 알아내는 방법이 있는데 이 방법은 정렬을 할 수있는 컬럼의 갯수가 적거나 행의 갯수가 많다면 좋지못한 방법이다... limit.. 2017. 9. 6. [CSS] css 기본 개념 / 선택자와 선언 / 선택자의 종류( 태그 / 아이디 / 클래스 ) css 기본 개념 / 선택자와 선언 / 선택자의 종류( 태그 / 아이디 / 클래스 )에 대해서 정리한다. CSS - 웹 페이지를 꾸며주는 언어 - html이 정보로서의 표현을 집중하기 위해서 디자인을 담당하는 언어 - 태그안에서 동작하는 코드 - HTML에서 CSS를 만들게 되면서 정보와 디자인의 분리가 명확해졌다. - CSS 문법 안에 효과를 줄때 구분자는 ';' 세미콜론을 이용해서 구분하게 된다. - CSS를 사용하는 방법 1. 태그 안에 style 속성을 이용하면 그안에 CSS에 대한 값을 줄 수 있다. ( style 속성에 대한 값은 무조건 CSS가 들어가도록 약속이 되있다 ) 2. 태그 안에 CSS를 이용해서 디자인을 바꿀 수 있다. ( 태그안에 태그 선택자를 이용해서 태그에 대한 CSS를 적용.. 2017. 9. 6. [WEB HACKING] Blind SQL injection 기본개념 Blind SQL injection 기본개념에 대해서 정리한다. Blind SQL injection - SELECT 쿼리에 취약점이 존재하는 경우 - DB내의 정보를 노출할 수 있는 취약점 테스트 사이트 1). DB: blind - table news - no(숫자) - title(문자) - news(문자) fnews - no(숫자) - title(문자) - news(문자) - bigo(문자) anews - no(숫자) - title(문자) ( blind DB안에 테스트 사이트에서 사용할 news 테이블과 fnews, anews 테이블을 만들어놨고 해당 구조이다.. ) ( 실습을 위해서 각 테이블마다 3개씩 데이터를 입력 해두었다... ) ! 각 테이블에는 테스트를 위한 데이터를 미리 입력( 3개정도 ).. 2017. 9. 5. [HTML] html5 ( 입력양식 / 속성들 / 입력 값 체크 ) html5 ( 입력양식 / 속성들 / 입력 값 체크 )에 대해서 정리한다. HTML5 입력양식 - input에 대한 type이 다양하게 추가 되었다. - color, date , datetime, datetime-local, email, month, number, ... - 사용자에게 어떠한 입력을 강제할 수 있는 기능, 모바일 디바이스에서의 입력환경 지원, ... ( 태그에서 number 타입을 이용해서 숫자에 대한 입력만을 받고 범위를 넘거나 문자를 입력하려는 부분을 강제적으로 제한 시킬 수 있다 ) ( 년월일에 대한 날짜 정보 전체를 입력 받고 싶다면 date 타입을 사용하면 되고'2017-09-05' 형태로 입력을 받는다 ) ( month는 년월일중에 일을 제외한 부분을 입력 받고 받는 방식은 d.. 2017. 9. 5. [HTML] 정보로서의 html( font / meta / semantic / 모바일 지원 / iframe ) 정보로서의 html( font / meta / semantic / 모바일 지원 / iframe )에 대해서 정리한다. 정보로서의 HTML 글꼴 - font ( 퇴출됨 ) - 태그 사이에 있는 해당 글자를 속성을 이용해 제어할 수 있는 태그이지만 현재는 쓰지 않는걸 권하고 있다. ( html에서 문서를 표현하는 의미를 가지고 있는 태그라기보단 디자인쪽인 시각적 표현을 하는 태그 ) - html에서 font와 같이 디자인 관련 태그를 퇴출 시키면서 CSS를 만들었다. ( htm과 css로 정보와 디자인을 나누면서 디자인 처리측면도 효율성이 더 발전했다 ) ( font 태그는 문서의 의미를 표현하기보단 디자인 측면이라 CSS가 나오면서 쓰지 않는것을 권하고 있다.. ) meta - 웹 페이지 자체의 정보를 표.. 2017. 9. 3. [HTML] html 주요태그 - 단락<p>, 줄바꿈<br>, 이미지<img>, 표<table>, 입력 양식<form> html에는 여러가지 태그들이 많이 있지만 그중에서 많이 사용되는 태그들 중html 주요태그 - 단락, 줄바꿈 , 이미지, 표, 입력 양식에 대해서 정리한다. HTML 주요 태그 단락 - - 문장의 단락을 구분할때 사용하는 태그 - 코드상에서 엔터키를 이용해 단락을 구분한다고해도 html은 엔터키를 무시하고 한줄로 출력하게 된다. - css를 이용하면 태그로 단락이 떨어져 구분되는 사이의 크기를 더 늘리거나 줄일수 있다. ( 태그를 이용해도 시각적으로는 똑같이 단락을 나눌수 있지만 단락을 나눌때는 태그를 이용하는게 나중에 단락별로 제어도 할수 있어서 좋다 ) 줄바꿈 - - html에서 줄바꿈을 할때 사용하는 태그 - 단순한 줄바꿈을 할때 이용하는 태그라서 내용이 없는 태그이기 때문에 닫히는 태그가 따로 .. 2017. 9. 3. [HTML] html 기본 개념( 문법 / 속성 ) / 문서의 구조 / 태그의 역사 html 기본 개념( 문법 / 속성 ) / 문서의 구조에 대해서 정리한다. HTML ( HyperText Markup Language ) 기본 개념( 문법 / 속성 ) - 문서의 구조를 표현 - 사람과 웹브라우저간의 약속 - 보통 로 시작해서 로 끝나게 된다. 안에 내용이 없는 경우에는 와 같은 사용도 가능하다. - 태그안에 속성을 사용해서 필요한 기능들을 사용할 수 있고 속성의 순서는 중요하지 않다. - 태그는 중첩을 이용해서 사용이 가능하고 중첩을 이용해 하나의 그룹으로 나눌 수 있다. ( 에디터에 적은 내용을 웹 브라우저에서 실행 시키면 그대로 텍스트 형식으로 출력이 되는데 html을 이용하면 문서의 구조를 더 효율적으로 표현할 수 있다 ) ( 위와 같이 태그를 이용해서 문서를 효율적으로 표현하고 .. 2017. 9. 2. [WEB HACKING] RFI( Remote File Inclusion ) 취약점 / SQL 이용한 취약점( SQL Injection / Blind SQL Injection ) 및 다운로드 페이지 동작 과정 분석 RFI( Remote File Inclusion ) 취약점 / SQL 이용한 취약점을 알아보기전 동작 과정 분석에 대해서 정리한다. - RFI( Remote File Inclusion ) 1). 객체에 대한 직접 참조가 가능 2). 외부 입력값에 대한 검증 * 실습 결과 둘중 하나의 조건이라도 만족하지 않았다면 해당 취약점은 발생하지 않았을수 있다. - include - require - include_once - require_once ! XSS 취약점 점검 1. 블랙박스 테스팅 - 소스코드가 공개되어 있지 않은 상황에서 진행 - 소스코드를 보지 않고 취약점을 검증 2. 화이트박스 테스팅 - 소스코드를 직접 분석하여 취약점을 검증 * 두가지 방법을 다 사용하는게 안정성 측면에서 뛰어나다. - SQL을 .. 2017. 9. 2. 이전 1 ··· 3 4 5 6 7 8 9 ··· 25 다음
