생각과 고민이 담긴 코드

오늘은 저번 포스팅에 이어서 DVWA 사이트에서의 XSS 공격 실습과 그에 해당하는 대응방법에 관해 포스팅해보겠습니다. XSS 공격이란? 먼저 XSS에 대한 개념에 대하여 알아보겠습니다. XSS는 대부분의 웹사이트의 내장된 자바스크립트의 위 스크립트의 내용을 살펴보면 공격자의 웹서버 주소로 사용자를 이동시키는 동시에 쿠키 정보를 전달시키고 있음을 알 수 있습니다. 즉, 이러한 스크립트가 포함된 요청이 '10.0.2.4'로 갔다가 응답이 오는 동시에 웹브라우저에서 스크립트를 실행시켜 사용자를 '10.0.2.5'로 이동시킵니다. 또한 동시에 DVWA 웹사이트에서 받은 세션 정보를 포함하는 쿠키 정보를 넘겨주게 됩니다. 그렇게 진행하게 되면 사용자는 위와 같이 아무것도 없는 페이지로 이동되지만 공격자 측에서는..

이번에는 Command Injection에 대하여 알아보고 간단히 실습을 진행해보겠습니다. Command Injection이란? Command Injection은 보기와 같이 사용자로부터 받은 입력을 내부적으로 시스템 명령어의 인자로서 사용하는 서비스에서 악의적으로 ";" 등의 키워드를 통해 다른 시스템 명령어를 덧붙여 실행시키는 공격을 말합니다. 위 예시와 같이 사용자로 부터 ip주소를 입력을 받아서 내부적으로 ping 명령어를 실행시키는 서비스가 있습니다. 여기에 ";" 키워드를 붙혀서 추가적인 시스템 명령어인 ls를 붙혀 보내면 놀랍게도 ls 명령어의 실행결과도 반환되는 것을 볼 수 있습니다. DVWA Security 단계 별 대응 1. low 단계 : 대응 없음. 2. medium 단계 : // ..

실습을 진행하기 앞서서 실습환경은 Oracle VM VirtualBox에 Kali Linux를 설치한 후 Burp Suite를 이용하여 진행하였습니다. 또한 DVWA는 Metasploitable2 위에서 구동시키도록 환경을 실습환경 구축했습니다. Kali Linux는 데비안 기반의 모의 침투 테스트용 운영체제이고 Burp Suite는 웹 프록시로서 클라이언트 요청정보, 서버의 응답 정보 등을 상세히 확인할 수 있는 툴입니다. Metasploitable2는 모의 침투 테스트를 위한 취약한 웹서버이며 DVWA등과 같은 여러 모의 침투용 웹 어플리케이션들을 제공합니다. 이어지는 포스팅에서는 실습환경에 대한 설치 과정을 따로 다루진 않고 간단한 실습과 함께 웹 보안에 대한 개념을 확실히 잡으면서 공부하는 것을 ..