웹 해킹이란 무엇인가?
웹 해킹 : 웹에 대한 공격. 웹 서비스 상에서 발생될 수 있는 보안 허점을 이용해서 악의정인 행위를 하는 것이다.
방화벽 : IP, 포트, 프로토콜을 기반으로 패킷 필터링을 한다.
웹 해킹에서 가장 중요한 것은 정보 수집!
웹 해킹 공격 종류와 영향력
웹 해킹 공격의 종류
SQL 인젝션 : 파라미터에 SQL 구문을 삽입해서 어플리케이션에서 DB로 지리를 하게 되는데 이때 정상적인 개발자가 의도한 정상적인 SQL 구문을 지리하는 것이 아니라 SQL 구문이 삽입됨으로써 공격자가 의도한 비정상적인 SQL 구문을 지리한다.
커맨드 인젝션 : 시스템 명령 구문이 인젝션되는 취약점
XPath 인젝션 : 엑스패스 - 각 요소들의 값이나 속성의 값을 탐색할 수 있는 경로를 표현한 것. 공격자가 의도한 다른 것들을 행위를 함으로써 이 구조에 대한 값을 그대로 탈취한다.
xss : 의도하지 않은 문서를 외부로부터 호출해서 공격자가 의도하는 파일을 열람할 수 있다.
CSRF
파일 업로드 취약점 : 공격력 악성 스크립트를 업로드 한다. 시스템 명령을 실행해 해당 서버의 권한을 탈취한다.
파일 다운로드 취약점 : 지정된 경로가 아닌 그 외에 경로에 있는 파일을 다운로드 받을 수 있는 취약점.
파라미터 변조 취약점 : 나의 키값이 아닌 다른 값으로 변조를 하게 되면 타 사용자의 정보를 열람할 수 있다.
웹 해킹으로 인한 영향력
- 시스템 명령어 실행
- 서버 내 정보 탈취
- 기업 중요 정보 탈취
- 고객 개인 정보 탈취
웹 해킹 필수 도구, 웹 프록시
프록시 : 클라이언트와 서버 사이에서 중개 역할을 하는 서버. 모든 공격의 시작이다.
웹 브라우저는 믿을만 하지 못하기 때문에 웹 프록시의 요청과 응답에 따라 추론을 잘 해야 한다.
웹 프록시 도구의 종류
- 버프 스위트(Burp Suite) : 가장 많이 사용되는 웹 프록시로 다양한 확장 기능을 사용할 수 있다.
- 파로스 : 간단한 인터페이스로 입문자 용으로 적합하다.
- 피들러 : 개발자들이 많이 사용하고 있다.
'SWUFORCE > 모의해킹팀' 카테고리의 다른 글
| 모의해킹 과제 4주차 (0) | 2023.11.07 |
|---|---|
| 3주차 웹해킹 과제 (0) | 2023.10.11 |
| 2주차 과제 - 시스템 해킹 (0) | 2023.10.04 |
| 모의해킹 2주차 과제 - 웹 해킹 (0) | 2023.10.03 |
| 2주차 과제 (0) | 2023.09.26 |