| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- 정보보안
- CTF
- 해킹 스터디
- Blue Team
- SoC
- write-up
- 해킹
- 모의해킹
- IR
- 워게임
- Bandit
- http
- 보안 스터디
- XSS
- Web
- Cross-Site Scripting
- Cyber Security
- 리눅스
- TryHackMe
- web hacking
- cert
- 리눅스 기초
- linux
- THM
- 사이버 보안
- OverTheWire
- 보안 관제
- 정보보호
- 해커
- 블루팀
- Today
- Total
목록TryHackMe/Web Hacking (10)
AnbyMata의 해킹 노트
[TryHackMe] CSRF
TryHackMe - "CSRF". Write-up + Extra Study!출처: https://tryhackme.com/room/csrfV2 CSRFLearn how a CSRF vulnerability works and methods to exploit and defend against CSRF vulnerabilities.tryhackme.com [1] Overview of CSRF AttackCSRF (Cross-site Request Forgery)- 사용자가 로그인 상태를 악용해, 사용자 대신 요청을 보내는 공격- 브라우저가 인증 정보 관련 쿠키를 자동으로 포함한다는 점을 악용 [1-1] CSRF 공격 흐름1. 웹 애플리케이션의 요청 형식 파악2. 사용자에게 악성 링크 전송 → 클릭 유도3..
[THM] XSS - EP.4 (Task 8~10). 完
TryHackMe - "XSS". Task 8~10. Write-up + Extra Study!출처: https://tryhackme.com/room/axss XSSExplore in-depth the different types of XSS and their root causes.tryhackme.com [8] DOM-Based XSS- DOM-based XSS = 브라우저에서 JS가 DOM을 조작하는 과정에서 발생하는 유형- 서버가 아닌 브라우저 내부에서 발생- 지금도 자주 발견되는 Reflected XSS, Stored XSS와 달리 요즘에는 거의 발생하지 않음- 브라우저의 기본 보안 기능 강화 → DOM-based XSS 감소 [8-1] DOM (Document Object Model)DOM ..
[THM] XSS - EP.3 (Task 6~7)
TryHackMe - "XSS". Task 6~7. Write-up + Extra Study!출처: https://tryhackme.com/room/axss XSSExplore in-depth the different types of XSS and their root causes.tryhackme.com [6] Stored XSS- Stored XSS = 사용자 입력이 서버에 저장된 후, 다른 사용자에게 인코딩 없이 제공되면서 발생하는 유형- 웹 애플리케이션 보안 취약점- 사용자 입력이 데이터 저장소에 저장되고, 이후 충분한 escaping이나 sanitization 없이 다른 사용자에게 제공되는 웹 페이지에 포함될 때 발생함- 링크를 클릭한 사용자만 공격하는 Reflected XSS와 달리 페이지를 ..
[THM] XSS - EP.2 (Task 4~5)
TryHackMe - "XSS". Task 4~5. Write-up + Extra Study!출처: https://tryhackme.com/room/axss XSSExplore in-depth the different types of XSS and their root causes.tryhackme.com [4] Reflected XSS- Reflected XSS = malicious(악성) script가 사용자 브라우저로 즉시 반사되는 유형- 보통 조작된 URL이나 폼 제출을 통해 발생- 웹 애플리케이션이 취약할 때 발생 Vulnerable Web Application (취약한 웹 애플리케이션)- 사용자의 특정 검색어가 결과 페이지에 그대로 포함되는 등의 단순한 구조가 XSS 공격에 취약함- 취약점을 ..
[THM] XSS - EP.1 (Task 1~3)
TryHackMe - "XSS". Task 1~3. Write-up + Extra Study!출처: https://tryhackme.com/room/axss XSSExplore in-depth the different types of XSS and their root causes.tryhackme.com [1] IntroductionCross-site scripting (XSS)- 대표적인 웹 취약점 중 하나 (1999년에 발견됨)- 여전히 빈번히 발생하는 취약점- 웹사이트에 malicious script(악성 스크립트)를 삽입→ 브라우저에서 악성 스크립트를 실행- 서버가 아닌 사용자 브라우저가 공격 대상- 2021년부터 Injection 공격의 범주로 포함되었습니다. 배우는 내용들- 3가지 XSS 유..
[THM] SQL Injection - EP.3 (Task 6~10). 完
TryHackMe - "SQL Injection". Task 6~10. Write-up + Extra Study!출처: https://tryhackme.com/room/sqlinjectionlm SQL InjectionLearn how to detect and exploit SQL Injection vulnerabilitiestryhackme.com [6] Blind SQLi - Authentication BypassBlind SQL Injection- In-Band SQLi와 달리, 공격 결과를 화면에서 직접 확인할 수 없음- 에러 메시지가 비활성화되어 있어 공격의 성공 여부 및 피드백을 받을 수 없음- 에러 메시지가 안 보일 뿐, SQL Injection 취약점은 여전히 존재함- 에러 메시지가 아닌..
[THM] SQL Injection - EP.2 (Task 4~5)
TryHackMe - "SQL Injection". Task 4~5. Write-up + Extra Study!출처: https://tryhackme.com/room/sqlinjectionlm SQL InjectionLearn how to detect and exploit SQL Injection vulnerabilitiestryhackme.com [4] What is SQL Injection?SQL Injection- 사용자 입력값이 그대로 SQL query에 포함되면서 의도하지 않은 SQL 명령이 실행되는 취약점- 입력값 검증 미흡으로 인하여 주로 발생 (Input Validation 부재)- 인증 우회, 비공개 데이터 열람, DB 조작 등을 가능하게 함 SQL Injection 기본 동작- 1. ..
[THM] SQL Injection - EP.1 (Task 1~3)
TryHackMe - "SQL Injection". Task 1~3. Write-up + Extra Study!출처: https://tryhackme.com/room/sqlinjectionlm SQL InjectionLearn how to detect and exploit SQL Injection vulnerabilitiestryhackme.com [1] BriefSQL Injection- SQL (Structured Query Lanuage) Injection, 줄여서 "SQLi" 라고도 함- Web Application의 데이터베이스 서버를 대상으로 악의적인 쿼리를 실행하게 만드는 공격- 공격자는 개인 정보나 데이터를 탈취, 삭제, 변조 할 수 있음- 로그인 등의 인증을 우회하여 마이페이지나 관리자..