* SQL injection : 기존 SQL에 악의적인 구문을 삽입해 공격하는 방법 * Command injection : 쉘을 실행시키는 로직을 이요한 공격으로 시스템의 권한을 탈취하는 방법 * File Upload Attack : 공격 스크립트가 담긴 파일을 서버로 업로드하는 공격 * CSRF(Cross-site Request Forgery) : 공격자가 서비스를 사용하는 사람을 이용해 요청을 보내는 공격 * XSS(Cross-Site Script) : 웹 페이지에 악성 자바스크립트를 삽입하는 공격 ...
보안/웹 해킹
1) 배너를 통한 정보 수집 - 배너 그래빙(banner grabbing) : 웹 서버에 대한 정보를 서버의 응답을 통해 수집하는 방법 - 개발자 도구를 이용해 응답헤더를 확인하거나 버프 스위트의 프록시 히스토리 기능으로 확인 가능 - burp suite의 [proxy] - [history] 2) 기본 설치 파일을 통한 시스템 정보 수집 - 웹 서버, 웹 프레임워크, 기타 구성 요소 등이 노출되는 경우가 있음 - 예를 들어 PHP 언어로 개발된 경우 phpinfo.php 를 통해 호스트 관련 정보를 알아낼 수 있음 - firefox 주소칸에 192.168.56.102/bWAPP/phpinfo.php 입력 3) 웹 취약점 스캐닝 - 자동화 프로그램을 이용해 웹사이트의 여러 정보를 수집해 취약점을 알아내는 ..
1) C언어 - 컴파일러 언어 - low level - 절차 지향 언어 - 자원 관리(임베디드 시스템, 메모리 설계 등)에 사용됨 - 직접 메모리 관리를 해주어야 함 - 정적 언어 2) Java - 컴파일러 언어 - high level - 객체 지향 언어 - 보안에 강함 - 메모리 관리는 Gabage Collector이 직접 담당 - 정적 언어 3) JavaScript - 인터프리터 언어 - 객체 지향 언어 - 보안에 취약함 - 동적 언어 * 인터프리터 언어 : 소스 코드를 한 줄씩 읽어들여 실행 * 컴파일러 언어 : 컴파일러를 통해 전체 소스코드를 한 번에 기계어로 변환 * 정적언어 : 변수 선언 시 자료형을 지정해줘야 함 * 동적언어 : 변수 선언 시 자료형 지정이 필요치 않음
