time based sql injection
·
Hacking
time based sql injection 공격의 결과가 화면에 출력되지 않고 서버의 반응이 일관적이어서 공격의 성공,실패여부가 구분이 불가능한 상황에세 해야하는 공격 기법응답 시간을 일부러 지연시켜서 공격이 성공인지 실패인지 판단 시간과 관련된 함수 사용-> 응답 지연-> sleepand 연산자 참 and 참 -> 참참 and 거짓 -> 거짓거짓 and 거짓 -> 거짓:하나만 거짓이어도 거짓이 되며 둘 다 참이어야 한다. 앞이 거짓이면 뒤는 의미가 없다. 어차피 거짓이니까and 연산자 앞이 거짓이면 short cut 동작(뒤에 있는 조건을 완전히 무시한다)이 된다. -> 즉 sleep함수가 실행됐다면 앞의 함수가 참이라는 뜻이다. 앞의 조건을 공격코드로 입력하고 and로 묶어서 뒤에 sleep()..
boolean sql injection (노가다)
·
Hacking
보호되어 있는 글입니다.
SQL injection 실습(query result sql injection)
·
Hacking
보호되어 있는 글입니다.
SQL injection 이론, query result sql injection (board_view GET방식 파라미터 값을 select- injection vector)
·
Hacking
보호되어 있는 글입니다.
CSRF(cross site request forgery), 공격, 실습, 보안
·
Hacking
CSRF(cross site request forgery)해커가 악의적인 요청문을 작성하여 해당 요청문을 정상적인 클라이언트가 요청하게 만드는 공격 해커가 서버에게 전달하는 일반적인 요청문(입력값 입력 후 서버에게 요청하는 요청 데이터)을 분석하여 해당 요청문 안에 해커가 원하는 데이터를 입력 후 권한이 있는 클라이언트가 요청하게 만드는 공격 공격 대상 XSS -> 클라이언트 클라이언트에서 악의적인 코드가 실행되게 하는 공격 CSRF -> 서버 서버에서 악의적인 코드나 데이터를 서버에서 저장, 변경 등 처리하게 만드는 공격 비밀번호 변경 사용자 -> 회원정보 변경 페이지를 요청 -> 서버에서 페이지를 응답 -> 입력값(비밀번호)을 전달 -> 해당 입력값을 처리(성공, 실패) -> 결과 페이지 응답 hac..
SQL injection 기초
·
Hacking
보호되어 있는 글입니다.
CSRF 의미, 공격 방법, 보안 방법
·
Hacking
보호되어 있는 글입니다.
anti forgery token 만들기
·
Hacking
anti forgery token 사용자의 요청이 정상적인 건지 비정상적인지 확인하는 특별한 값 token 기능 구현 시 필요한 것 3가지 🧩1. 랜덤한 토큰값 생성 -> 랜덤한 값을 생성하는 새로운 페이지를 만든다. -> random.php->info.php2. 생성한 토큰값을 발급 -> info.php3. 발급받은 토큰값과 발급한 토큰값의 검증 -> info_change.php 1. 랜덤한 토큰값 생성 -> 랜덤한 값을 생성하는 새로운 페이지를 만든다. 1. 새로운 페이지를 생성한다.페이지 이름은 random.php로 한다.2. 페이지 내 코드는 아래와 같이 작성해준다.$length는 길이를 지정, $char는 랜덤한 값을 입력해 준다. $ran안에 랜덤한 값을 넣는다.$ran .= $char..
XSS 방어 (session id)
·
Hacking
세션 id를 못 보게 방어하는 방법 vim /etc/php.ini1299번째 줄 게시판에 를 적고 등록 후 클릭해보면원래는 phpsessionID가 보이는데 안 보이게 되었다.
XSS(Cross Site Scripting) 공격, 방어방법(입력값), 정규표현식 등
·
Hacking
보호되어 있는 글입니다.

티스토리툴바