전체 글58 ASP 언어 ASP ( Active Server Page ): 동적으로 서버에서 작동하는 페이지 (정적인 페이지 = HTML) ASP 코드 형태 : ASP 동작 과정 ASP 기본 문법 문자열 출력 : Response.write() response.write (“~~~~~~”) 변수와 문자열 출력 변수와 문자열을 연결할때, & 를 사용한다. 연결 연산자 = & 문자열을 서로 연결시켜주는 연산자 Dim 변수이름 Dim 배열이름 (배열크기) response.write(“~~~ & name”) 문자열 관련 함수Replace() 함수 Replace ( s, s1, s2 ) : s문자열에서 s1을 s2로 모두 바꾼다. Mid() 함수문자열의 지정한 위치에서 , 지정한 길이만큼 문자열을 반환하는 함수 Mid ( 변수, 지정한 위.. 2019. 9. 13. Web 어플리케이션 공격기법 임의정리 Cross Site Scripting ( 크로스 사이트 스크립팅 ) 게시판이나 웹메일 등에 악의적인 스크립트를 삽입하여 비정상적인 페이지가 보이게 하여 타 사용자의 사용을 방해하거나 쿠키및 기타 개인정보를 특정 사이트로 전송하는 등의 문제 SQL Injection ( SQL문 삽입 공격 ) 웹 어플리케이션에 의도적으로 sql 문을 삽입하여 로그인 인증과정을 우회하거나 공격자의 악의적인 쿼리문을 DB에 보낼수 있는 문제 Parameter Manipulation ( 파라미터 변조 ) 웹 어플리케이션이 사용자의 파라미터값을 검증하지 않을 경우 이를 악용하여 어플리케이션이 비정상적으로 동작하게끔 하는 문제 Brute Force Attacks ( 반복 [사전식] 공격 ) Get이나 Post 방식으로 인증.. 2019. 9. 13. Burp Suite Burp Suite 웹 어플리케이션 테스트로 자주 사용하는 웹 프록시 툴 프록시 : 대리, 대리인 이라는 사전적 의미를 가지고있다. 프록시 서버를 이용하면 최종 목적지에 프록시 서버를 통해 간접적으로 접근이 가능합니다. 프록시 서버 : 클라이언트와 웹 서버간의 요청 / 응답 패킷을 살펴볼수 있게 된다. & 변조 또한 가능하다. :: 웹 취약점 점검시 자주 이용된다. 옵션 proxy 버프슈트는 proxy와 함께 사용되는데, default로 8080 포트에서 실행된다.proxy를 사용하여 클라이언트 시스템에서 웹 응용프로그램으로 흐르는 트래픽을 가로채서 수정한다. intruder 브루트포스 공격을 수행하거나 웹 응용프로그램을 fuzzing 하거나 , 취약점을 exploite 하는것과 같은 다양한 목적으로 위.. 2019. 9. 13. XSS 취약점 XSS 취약점 ( Cross Site Scripting ) * CCS는 이미 다른 약어로 사용되고 있기때문에 표기를 달리함 : 웹 어플리케이션 관련 취약점 게시판이나 웹 메일 등에 악의적인 스크립트를 삽입하여 비정상적인 페이지가 보이게해 사용자를 방해하거나, 쿠키 및 기타 개인정보를 특정사이트로 전송함 사용자의 입력내용을 포함하는 HTTP요청에 대해 동적으로 HTML을 생성하는 어플리케이션 ( CGI )이 공격대상이 됩니다. * CGI = 사용자의 요청에 의한 서버의 응답 ( Common Gate interface )PHP , ASP = CGI를 만들기 위한 도구 / 스크립팅 언어예) PHP 와 CGI는 상하관계 : PHP는 언어, CGI는 규약, 동작 원리이다.PHP 는 CGI이다 = PHP로 만들어진.. 2019. 9. 12. 이전 1 ··· 9 10 11 12 13 14 15 다음