ahhyun98 님의 블로그

이전 글 보러가기 이번 실습은 A03 - Injection 항목 중에서도 웹에서 가장 자주 발생하는 HTML Injection & XSS 공격을 직접 실습한 내용이다. 입력값이 필터링 없이 출력될 때 발생하는 문제를 체감할 수 있었고, Burp Suite를 활용해 보안 우회까지 테스트해 보았다. 1. 실습 환경대상 : bWAPP + BeeBox (로컬 환경)Tool : 웹 브라우저, Burp Suite2. Reflected HTML Injection (GET 방식) HTML Injection이란? 웹 애플리케이션이 사용자 입력을 검증하지 않고 HTML 코드로 출력하는 취약점이다.이를 통해 공격자는 의도하지 않은 웹 콘텐츠를 삽입할 수 있다. 1) URL 파라미터에 hi => 페이지에 태그가 ..

웹 애플리케이션 보안을 공부하면서 가장 먼저 익혀야 할 개념은 단연 OWASP TOP10이다. 이글에서는 2021년 기준으로 발표된 OWASP TOP10 항목들을 이론 중심으로 정리하고, 각 항목별 대응 방안도 함께 정리하였다. 1. OWASP란? OWASP(Open Web Application Security Project)는 웹 보안을 표준화하고 향상하기 위한 글로벌 비영리 프로젝트이다.가장 잘 알려진 프로젝트는 OWASP TOP10으로, 전 세계에서 실제로 발생한 취약점 데이터를 바탕으로 가장 흔하고 위험한 보안 이슈 10가지를 선정하여 발표한다. 공식 링크 : https://owasp.org/www-project-top-ten/ OWASP Top Ten | OWASP FoundationThe..

이번 포스트에서는 bWAPP 환경을 기반으로 SQL Injection 실습을 하고 , 보안 자동화 도구인 sqlmap을 이용하여 SQL Injection 공격을 자동화하는 과정을 정리하였다. 실습 환경 : VMware + BeeBox (bWAPP), Kali-Linux사용 도구 : Burp Suite, sqlmap공격 방식 : SQL Injection (GET/POST), 자동화된 DB 추출1. SQL Injection POST 방식 실습 POST 방식의 SQL Injection은 URL에 직접 값을 넣는 GET 방식과 달리, 데이터가 HTTP Body로 전송되기 때문에 일반 브라우저 주소창에서는 조작이 어렵다. 따라서 Burp Suite의 Proxy(프락시) 기능을 활용해 요청 내용을 가로채고 수정함..

이번 포스팅에서는 bWAPP 환경을 기반으로 SQL Injection 기초를 실습한 내용을 정리한다. SQL이란 무엇인지, SQL Injection이 어떤 방식으로 이뤄지는지, 그리고 다양한 공격 기법들을 다루어보았다. 실습 환경 : VMware + BeeBox (bWAPP 내장)취약점 유형 : SQL Injection 1. SQL이란? SQL(Structured Query Language)은 데이터베이스(DB)를 제어하고 데이터를 관리하기 위해 사용하는 언어이다. 데이터를 검색하거나 삽입, 수정, 삭제할 때 사용되며, 웹 애플리케이션에서 가장 많이 사용되는 언어 중 하나이다. 2. SQL Injection이란? SQL Injection은 웹 애플리케이션이 사용자 입력값을 적절히 검증하지 않고 S..