728x90 전체 글79 ClientSide: XSS [2. Cross Site Scripting (XSS)] : XSS는 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있음. - 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있음. - 해당 취약점은 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어졌음. 그러나 이를 우회하는 다양한 기술이 소개되면서 XSS 공격은 지속되고 있음. XSS 발생 예시와 종류 - XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생. - 클라이언트는 HTTP 형식으로 웹 서버에 리소스를 요청하고 서버로부터 받은 응답, 즉 HTML, CSS, JS.. 2024. 2. 15. Background: Cookie & Session [2. 쿠키] : 일반적으로 클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용함. - 쿠키는 서버와 통신할 때마다 전송되기 때문에 쿠키가 필요 없는 요청을 보낼 때 리소스 낭비가 발생할 수 있습니다. 최근에는 이러한 단점을 보완하기 위해 Modern Storage APIs를 통해 데이터를 저장하는 방식을 권장하고 있음. - 상태 정보 : 많은 웹 사이트에서는 회원 가입과 로그인을 통해 개개인에게 맞춤형 서비스를 제공한다. 웹 서버에서는 수많은 클라이언트의 로그인 상태와 이용자를 구별해야 하는데, 이때 클라이언트를 식별할 수 있는 값을 쿠키에 저장해 사용한다. Figure1. HTTP 프로토콜 특징 connectionless : 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것을 의미 sta.. 2024. 2. 2. Introduction of Webhacking & Background:Web Introduction of Webhacking [1. 웹이란 무엇인가?] 웹 : 월드 와이드 웹(World Wide Web, WWW, W3) -> 줄여서 웹(Web) 웹 서버(Web Server) : 서비스를 제공하는 대상 클라이언트(Web Client) : 서비스를 받는 사용자 [2. 웹 기초 지식] Web Browser : HTTP를 통해 인터넷 상에서 통신을 하며 서버로부터 전달받은 다양한 웹 리소스들을 가공해 사용자가 웹과 HTTP의 동작 원리를 알지 못해도 웹을 사용할 수 있도록 도와주는 소프트웨어 - 대중적으로 많이 쓰이는 웹 브라우저는 Chrome, Edge, Safari, Firefox 등 Web Resource : 웹 상에 존재하는 모든 콘텐츠입니다. (HTML, CSS, JS, PDF.. 2024. 1. 24. OlympicDestroyer - Volatility Contest 2018 풀이 (1)~(3) 침해 사고 개요 및 공격 시나리오 공격 대상 기관 담당자에게 악성 문서 파일이 첨부된 스피어 피싱 메일 전송 -> 메일에 첨부된 문서 파일을 다운로드 하여 열람 시 문서 파일 내에 포함된 악성코드가 실행되어 공격자의 서버와 연결 -> 감염된 시스템에 Empire를 이용하여 Credential 획득( 사용 모듈 : bypassUAC, mimikatz) -> PC-admin에 “Olympic Destroyer” 악성코드 유입 -> Domain Server에 연결된 Host-PC 접근 시도 및 악성코드 감염 시킴 -> 시스템 파괴 단서 : 첨부파일 V10 "Olympic_Session_V10" / 메일을 통해 감염. 해당 폴더로 이동 후, imageinfo를 통해 메모리 덤프가 어떤 이미지의 것인지 추측해준다.. 2024. 1. 17. [보안뉴스]_[IGLOO] Confidential Computing 데이터 보안의 새로운 패러다임 Confidential Computing 데이터 보안의 새로운 패러다임 - Security & Intelligence 이글루코퍼레이션 (igloo.co.kr) Confidential Computing 데이터 보안의 새로운 패러다임 01. 데이터 보안과 암호화 데이터 보안은 중요한 데이터의 전체 수명 주기에 걸쳐 데이터를 보호하고, 사용자 활동과 데이터의 컨텍스트를 이해하고, 권한 없는 데이터 사용 또는 손실을 방지하 www.igloo.co.kr 01. 데이터 보안과 암호화 데이터 보안은 정보의 전체 수명 주기 동안 보호하고 권한 없는 액세스로부터 방지하는 것이 중요하다. 이를 위한 주요 기술은 암호화이며, CIA의 3대 보안 요소 중에서 기밀성이 가장 중요하게 강조되고 있다. 02. 데이터의 상태와 데이.. 2024. 1. 17. [Dreamhack] Flying Chars (Beginner) Description 날아다니는 글자들을 멈춰서 전체 문자열을 알아내세요! 플래그 형식은 DH{전체 문자열} 입니다. ❗첨부파일을 제공하지 않는 문제입니다. ❗플래그에 포함된 알파벳 중 x, s, o는 모두 소문자입니다. ❗플래그에 포함된 알파벳 중 C는 모두 대문자입니다. 풀이 step 1. 접속 정보 사이트로 접속 사이트에 접속했더니 문제 설명처럼 글자들이 날아다니고 있었다. 제공되는 첨부 파일도 없어서 우선, 개발자 도구로 들어가 이것저것 확인해보았다. png파일이 0부터 19까지 순서대로 있는 것을 확인할 수 있었다..! 이걸 순서대로 조립해보면, Too_H4rd_to_sEe_th3_Ch4rs_x.x 가 나온다. 플래그 제출 형식에 맞추어 작성해주면 해결.ㅇ 2024. 1. 17. 이전 1 ··· 5 6 7 8 9 10 11 ··· 14 다음 728x90
