보안 위협 : 해당 취약점이 존재할 경우 브라우저를 통해 특정 디렉터리 내 파일 리스트를 노출하여 응용 시스템의 구조를 외부에 허용할 수 있고, 민감한 정보가 포함된설정 파일등이 노출될 경우 보안상 심각한 위험을 초래 실제로 모의 해킹 당시 구조를 파악하는데 유용하게 사용되었던 방법이며 아래와 같이 점검 및 예방한다. ■ 점검방법 ■ 보안설정 방법- 웹 서버 Level에서 취약점을 제거해야하며, 디렉터리 파일 목록을 보여주는 기능을 제거한다.

난독화 : 코드를 읽기 어렵게 만드는 기술 JavaScript에서 많이 사용되며 소스가 공개되어 있다는 단점 때문에아래와 같은 난독화 기법이 존재한다. 기법① Escape/Unescape : ASCII형태로 바꾸어 리턴, ISO Latin-1 문자 세트로 바꾸어 리턴하는 함수 (특수문자만 변환) ② Encoding/Decoding : 스크립트 코드를 암호화 및 복호화③ Split : 코드를 다수의 스트링 변수로 분할 후 재 조합 ④ eval() : String을 Code로 인지하고 실행가능하게 함 ⑦ String.fromCharCode() : 매개변수에서 ASCII 값이 나타내는 문자들로 구성된 문자열을 반환 ⑧ XOR 암/복호화 :

HTTP 프로토콜 HTTP의 요청 및 응답 프로토콜 필드의 자세한 사항은 「RFC 2616」 에 정의되어 있다. * RFC (Request for Comments) : IETF(Internet Enginnering Task Force)에서 제정한 인터넷 통신을 위한 표준을 정의한 문서명 HTTP 프로토콜 명령어 POST : 데이터는 REQUEST Body에 포함 시킨다. 전송 데이터의 제한이 없다 POST login.asp HTTP/1.1 id=admin&pass=123 GET : 데이터를 URI에 포함시킨다. 전송할수 있는 데이터의 량은

http://testphp.vulnweb.com/ Home of Acunetix Art welcome to our page Test site for Acunetix WVS. Warning: This is not a real shop. This is an example PHP application, which is intentionally vulnerable to web attacks. It is intended to help you test Acunetix. It also helps you understand how developer err testphp.vulnweb.com http://demo.testfire.net/ Altoro Mutual Online Banking with FREE Online ..

최초 개정일 : 2020.05.01. ver 1.0 1주차 스터디 04.28 Summary Java Script 난독화 Java Script : Eval() 함수 Java Script : String.fromCharcode () - decimal ASCII 에 해당 되는 값을 string으로 변환 본 스터디의 방향은 웹해킹 워게임 사이트를 대상으로 진행하기로 하였다. 대상 사이트는 Root Me > Web Client 이다. 이에 따른 문제와 문제 풀이 방법을 기록하며, 풀이 방법 중 Key Point를 남긴다. 0. Intro Root ME 사이트를 사용하는 방법을 소개한다. (사용법을 몰라서 헤맷기 때문에) 더보기 이 페이지를 통해서 가입하게 되며, 가입할 때 이메일 주소창에Gmail을 사용할 것을 ..

보호되어 있는 글입니다.