[모의해킹 실습] SQL Injection 게시판 구현 및 공격실습 1

SQL Injection 1. 공격 원리 SQL Injection는 코드 인젝션의 한 기법으로 클라이언트의 입력 값을 조작하여 서버의 데이터베이스를 공격할 수 있는 공격 방법이다. 문법적 의미가 있는 싱글쿼터(‘)와 주석(#)을 이용해 완성된 쿼리문을 주입해 공격자는 로그인 우회, 데이터 추출 등의 악의적인 행동을 취할 수 있다. SQL Injection의 공격 종류는 다음과 같다. 종류 대상/특징 Union SQLi UNION 절을 이용하여 두 개 이상의 쿼리를 묶어 원하는 정보를 DB에서 추출하는 공격 기법 Error Base SQLi 데이터베이스의 문법에 맞지 않은 쿼리문 입력 시 반환되는 에러 정보를 기반으로 공격하는 기법 Blind SQLi True인 쿼리문과 False인 쿼리문 삽입 시 반환되..

• format_list_bulleted Security/WEB
• · 2021. 5. 11.
• textsms

[모의해킹] 실습환경 구성하기

Preview 모의해킹은 중요 시스템의 정보를 탈취, 조작, 파괴 등이 가능한지 파악하는 취약점 진단을 수행한다. 체크리스트 기준으로 항목별 취약점 점검하는 업무를 수행하기 위해 위협이 있을 수 있는 웹사이트를 구현하고 공격자의 입장에서 침투테스트를 실시한다. 진단 항목을 올바르게 이해하고 프로젝트 수행 시 더 나은 결과물을 산출하기 위함이다. 자신만의 웹서버를 가지고 있고 그 서버가 입력 값에 따라 어떤 에러를 내는지 이해한다면 웹 취약점의 원리파악이 쉬워질 것이다. 구현 환경 웹 서비스를 개발 / 구축한 환경은 다음과 같다. 웹 취약점 진단 항목을 정확하게 이해하기 위해 웹 페이지 내 에러메시지 출력 설정이 되어 있으며 서버측 소스코드 및 디버깅 정보가 포함될 수 있다. 환경은 APM(Apache2,..

• format_list_bulleted Security/WEB
• · 2021. 5. 4.
• textsms

[정보보안] 침투 테스트(Penetration Testing) 개요

1. Preview 해커는 시스템, 네트워크 및 정보에 접근하기 위해 다양한 도구를 사용한다. 네트워크 스캐너, 소프트웨어 디버거, 암호공격 도구 등 공격에 있어 도구는 중요한 역할을 한다. 공격으로 부터 방어를 수행하는 보안 전문가는 공격자가 이용할 수 있는 취약점 식별 도구에도 높은 지식이 요구된다. 하지만 숙련된 공격자는 사이버 보안 방어를 무효화하기 위해 상당히 많은 도구를 사용하지만 결국에는 이러한 도구들이 제공하는 정보를 얼마나 잘 결합하고 창의력있게 접목하는지에 따라 공격의 성공 여부가 결정된다. 2. 침투 테스트란? 침투 테스트(Penetration testing)란 무엇일까? 조직의 보안을 테스트하기 위한 공격 도구의 순환적 사용과 이러한 툴의 힘을 숙련된 공격자가 사용했을 때의 격차를 ..

• format_list_bulleted Report/Term paper
• · 2021. 3. 8.
• textsms