![]()
๐โWeb_Study/๐โDreamhack_Hacking
1. Background: Relational DBMS 1. ๋ฐ์ดํฐ๋ฒ ์ด์ค ๊ธฐ๋ณธ ๊ฐ๋
๊ณผ DBMS - By L.M.S 1. ๋ฐ์ดํฐ๋ฒ ์ด์ค ํ์์ฑ ๋๋ณด๊ธฐ ๐กKEYWORD - ๋ฐ์ดํฐ๋ฒ ์ด์ค ํ์์ฑ - ๋ฐ์ดํฐ๋ฒ ์ด์ค ์ ์์ ํน์ฑ - ๋ฐ์ดํฐ์ ๋ฐ์ดํฐ๋ฒ ์ด์ค - DBMS, ๋ฐ์ดํฐ๋ฒ ์ด์ค ๊ด๋ฆฌ ์์คํ
๋ฐ์ดํฐ๋? DATA : ํ์ค ์ธ๊ณ์ ์๋ ๋ชจ๋ dystopia050119.tistory.com ๊ด๊ณํ ๋ฐ์ดํฐ๋ฒ ์ด์ค๋? ๊ด๊ณํ ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ์ ์์ ์ด๋ฅผ ๋น์ฆ๋์ค์ ์ด์ฉํ๋ ๋ฐฉ๋ฒ์ ์์๋ด
๋๋ค. www.oracle.com [database] ๊ด๊ณํ DB์ ๋น๊ด๊ณํ DB์ ์ฐจ์ด์ ์๋
ํ์ธ์~ ์ค๋์ ๊ด๊ณํ ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ๋น๊ด๊ณํ ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ๋ํด ์์๋ณด๊ฒ ์ต๋๋ค. ๊ด๊ณํ DB ์ผ๋ฐ์ ์ผ๋ก ์ฐ๋ฆฌ๊ฐ ๋ฐฐ์์๋ Mysql, Oracle, Mss..
![]()
๐โWeb_Study/๐โDreamhack_Hacking
Cross Site Request Forgery(CSRF) ์น ์๋น์ค๋ ์ฟ ํค ๋๋ ์ธ์
์ ์ฌ์ฉํด ์ด์ฉ์๋ฅผ ์๋ณํฉ๋๋ค. ์์ ์ด์ฉ์์ ์ฟ ํค๋ฅผ ์ฌ์ฉํ ์ ์๋ค๋ฉด, ์ด๋ ๊ณง ์์ ์ด์ฉ์์ ๊ถํ์ผ๋ก ์น ์๋น์ค ๊ธฐ๋ฅ ์ฌ์ฉ ๊ฐ๋ฅ! CSRF๋ ์์ ์ด์ฉ์์ ๊ถํ์ ์์ ์ฃผ์์ HTTP ์์ฒญ์ ๋ณด๋ผ ์ ์๋ ์ทจ์ฝ์ ์
๋๋ค. ๊ณต๊ฒฉ์๋ ์์ ์ด์ฉ์์ ๊ถํ์ผ๋ก ์๋น์ค ๊ธฐ๋ฅ์ ์ฌ์ฉํด ์ด๋์ ์ทจํ๋ ํ์์ด์ฃ ์๋๋ฆฌ์ค๋ฅผ ํ๋ฒ ๋ด
์๋ค ์๋ ์ฝ๋๋ CSRF์ ์ทจ์ฝํ ์ก๊ธ ๊ธฐ๋ฅ ์ํ ์ฝ๋์
๋๋ค. ์๋ํ๋ฉด.. ๊ณ์ข ๋น๋ฒ, OTP ๋ฑ์ ์ฌ์ฉํ์ง ์๊ธฐ์ ๋ก๊ทธ์ธํ ์ด์ฉ์๋ ์ถ๊ฐ ์ธ์ฆ ์ ๋ณด์์ด ๊ธฐ๋ฅ์ด ์ฌ์ฉ๋๋๊น์ ์ ์ฝ๋์ ๋ํ์ฌ ์ฃผ์๊น๊ฒ ์ดํด๋ณด๋ฉด.. /sendmoney ๋ก ๊ฐ์ user์ ๋ํ์ฌ to๋ฅผ ์
๋ ฅ ๊ทธ๋ฆฌ๊ณ ๊ธ์ก์ ์
๋ ฅํด ์ ์กํ๋ฉด ๋ฐํ..
![]()
๐โWeb_Study/๐โDreamhack_Hacking
XSS(Cross Site Scripting)์ด๋? XSS๋ ์น ํ์ด์ง์ ์ด์ฉ์๋ฅผ ๋์์ผ๋ก ๊ณต๊ฒฉํ ์ ์๋ ์ทจ์ฝ์ ! ํด๋น ์ข
๋ฅ์ ์ทจ์ฝ์ ์ ํตํด ์ด์ฉ์๋ฅผ ์๋ณํ ์ธ์
๋ฐ ์ฟ ํค ์ ๋ณด ํ์ทจ, ํด๋น ๊ณ์ ์ ์์ ๊ธฐ๋ฅ ์ํํจ Cross Site Scripting์ ์ฝ์ด๊ฐ XSS์ธ ์ด์ Cross Site Scripting์ ์ฝ์ด๋ CSS๊ฐ ์ณ์ง๋ง, ์คํ์ผ์ํธ๋ฅผ ์ ์ํ๋ ์ธ์ด CSS์์ ์ค๋ณต๊ณผ ํผ๋์ผ๋ก XSS๋ก ๋ช
๋ช
๋์์ต๋๋ค ใ
XSS XSS๋ ํด๋ผ์ด์ธํธ ์ฌ์ด๋ ์ทจ์ฝ์ ์ ๋ํ์ ์ธ ์ทจ์ฝ์ ์
๋๋ค. ๊ณต๊ฒฉ์๊ฐ ์น ๋ฆฌ์์ค์ ์
์ฑ ์คํฌ๋ฆฝํธ๋ฅผ ์ฝ์
ํด ์ด์ฉ์์ ์น ๋ธ๋ผ์ฐ์ ์ ํด๋น ์คํฌ๋ฆฝํธ ์คํํ ์ ์์ง์ ๊ณต๊ฒฉ์๋ ํด๋น ์ทจ์ฝ์ ์ ํตํด ์ธ์
์ ๋ณด ํ์ทจ ํด๋น ๊ณ์ ์ผ๋ก ์์์ ๊ธฐ๋ฅ์ ์ํํฉ๋๋ค. ์๋ก ์์ ๊ฐ์ ์ด๋ฏธ์ง๊ฐ ์์ต๋๋ค. ์ค..
![]()
๐โWeb_Study/๐โDreamhack_Hacking
Mitigation: Same Origin Policy SOP์ ๋ํ์ฌ ์ด์ ๊น์ง์ ์ฟ ํค์ ์ธ์
์ ๊ดํ ๋ด์ฉ์ ๊ธฐ๋ณธ์ ์ด๋ผ์ ์ ์ ์ ๋ฆฌ๋ณด๋จ ์ง์ ๋ฐฐ์ฐ๋ฉด์ ํ๋๊ฒ ์ข์๋ณด์ฌ์.. ์ฌ์ค ๊ท์ฐฎ์์๊ฐ ์ ์ผ ํฐ๋ฐ ใ
ใ
์น์ ์ดํด์ HTTP ๐กํด๋น ๋ด์ฉ์ pentestqym์ ๋ด์ฉ์ ๋ค์ ํ ๋ฒ ์ ๋ฆฌํ ๋ด์ฉ์ด๋ฉฐ, ๋ชจ๋ ์ ์๊ถ์ ํด๋น ์ฌ์ดํธ์๊ฒ ์์ต๋๋ค. ์น(Web)์ด๋? ์น์ World Wide Web์ ์ฝ์๋ก, ์ธํฐ๋ท, ํ์ดํผ๋งํฌ ๋ฑ์ ํตํด ์ ๋ณด๋ฅผ ๊ณต์ ํ๊ณ dystopia050119.tistory.com ์ฟ ํค์ ์ธ์
๐กํด๋น ๋ด์ฉ์ pentestqym์ ๋ด์ฉ์ ๋ค์ ํ ๋ฒ ์ ๋ฆฌํ ๋ด์ฉ์ด๋ฉฐ, ๋ชจ๋ ์ ์๊ถ์ ํด๋น ์ฌ์ดํธ์๊ฒ ์์ต๋๋ค. ์ฟ ํค(Cookie)๋? ์ฟ ํค๋ ์น ์๋ฒ๊ฐ ์์ฑํ์ฌ ์น ๋ธ๋ผ์ฐ์ ๋ก ์ ์กํ๋ ์์ ์ ๋ณด ํ์ผ์
..
![]()
๐โWeb_Study/๐โDreamhack_Hacking
http(Hyper Text Transfer Protocol)์ ๋ํ์ฌ ์๋ฒ์ ํด๋ผ์ด์ธํธ์ ๋ฐ์ดํฐ ๊ตํ์ ์์ฒญ(Request)๊ณผ ์๋ต(Response) ํ์์ผ๋ก ์ ์ HTTP์ ๊ธฐ๋ณธ ๋ฉ์ปค๋์ฆ์ ํด๋ผ์ด์ธํธ๊ฐ ์๋ฒ์๊ฒ ์์ฒญํ๋ฉด, ์๋ฒ๊ฐ ์๋ตํ๋ ๊ฒ์
๋๋ค. ์น ์๋ฒ๋ HTTP ์๋ฒ๋ฅผ HTTP ์๋น์ค ํฌํธ์ ๋๊ธฐ์ํต๋๋ค. ์ด ํฌํธ๋ ์ผ๋ฐ์ ์ผ๋ก TCP/80 ๋๋ TCP/8080์
๋๋ค. ํด๋ผ์ด์ธํธ๊ฐ ์๋น์ค ํฌํธ์ HTTP ์์ฒญ์ ์ ์กํ๋ฉด, ์ด๋ฅผ ํด์ํ์ฌ ์ ์ ํ ์๋ต์ ๋ฐํํฉ๋๋ค. ๋ฆฌ๋
์ค ํฌํธ ์ ๋ฆฌ ๋ฆฌ๋
์ค ํฌํธ ์ค๋ช
ํ๊ธฐ ์ ์ ์ฝ์ด์ผ ํ ๋ถ๋ถ ํฌํธ๋? ํฌํธ๋? ๋ณธ๋ ํญ๊ตฌ๋ผ๋ ์๋ฏธ๋ก์จ CS์์ OS๊ฐ์ ํต์ ์ ์ข
๋จ์ !! ๋คํธ์ํฌ ์์์ ํต์ ์ ํ ๋ IP๋ฅผ ํ ๋๋ก ํด๋น ์๋ฒ๊ฐ ์๋ ์ปดํจํฐ์ ์ ๊ทผ dystopia0501..
