WebGoat(웹 해킹)

1. Hijack a session에서는 개발자가 직접 세션아이디나 토큰을 만들 때 복잡성과 무작위성을 제대로 고려하지 않고 개발했을 경우 해커의 무차별 대입 공격으로 인해 이 세션아이디나 토큰이 탈취될 수 있다는 내용을 공부할 수 있다. 2. 해킹 과정 먼저 위와

먼저 IDOR에 DOR를 살펴보면 Direct Object Reference로 직접 객체 참조라고 한다. DOR은 클라이언트가 URI path나 파라미터 등으로 값을 서버에 전달하면서 서버의 애플리케이션에서 전달받은 값을 참고해 특정 데이터와 객체에 접근하는 것을 의미

1. 기능에 대한 액세스 제어 누락 2. 모의 해킹 실습

먼저 Spoofing은 다른 사람이나 시스템인 것처럼 위장하여 상대방을 속이는 기술로 이번장에서는 사용자 인증과 연관되어 있으며 접근 제어를 위해 생성한 타 사용자의 쿠키값을 유추하는 것을 의미한다. 로그인 한 사용자는 세션 또는 accessToken을 사용한다는 점에

1. Crypto Basics 2. 모의 해킹 3. 정리

1. SQL Injection (intro) SQL Injection은 개발자가 설계한 SQL 쿼리문에 해커가 악의적인 공격 구문을 삽입 2. 모의 해킹 실습 SQL의 기본 문법을 다루고 있는 2,3,4,5실습은 넘어가고 9번 3. 정리

1. SQL Injection (advanced) 이전에 살펴본 SQL Injection내용으로 실질적인 공격이 어렵다. 실제와 더 비슷한 환경에서 사용되는 다양한 공격 기법에 대해 알아보자. 2. 모의 해킹 실습 3번 문제-1. SQL query chaining 먼

1. SQL Injection 대응 방법 SQL Injection의 취약점은 DBMS에서 쿼리를 받을 때 쿼리가 사용자의 입력값을 구분하지 못하고 그대로 붙여 씀으로써 취약점이 발생한다. 그럼 어떻게 DBMS가 사용자의 입력값을 구분할 수 있도록 만들 수 있을까? 대