세번째 미팅!
내가 맡았던 과제는 burp suite의 사용법을 알아보고, burp suite를 사용하여 우리가 생성한 web goat 서버의 문제를 해결하는 것이었다. 이 과정을 통해 자연스레 해킹 분류를 알 수 있었다. 욕심이 과해서 여러 문제를 해결하는 바람에 한 두개씩 정확히 알아온 스터디원들에 비해 설명이 부족했던 점이 아쉬웠다.
▶ XSS 분류 및 XSS attack 과정
XSS 공격은 한 사용자가 입력한 스크립트 코드를 다른 사용자의 컴퓨터 상에서 실행시킬 수 있다는 뜻이다.
웹 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 제대로 검증하지 않을 때 발생한다.
다른 스터디원들은 OWASP (Open Web Application Security Project) 취약점 중 한 가지를 골라 조사해 왔는데, 그 중에서도 A2 인증 및 세션 관리의 취약점이 가장 기억에 남는다.
OWASP - A2 인증 및 세션 관리의 취약점 
- 세션이란?
쿠키와 같이 ID나 PW를 저장하기 위한 공간
- 세션을 이용한 공격 형태
① 세션 고정
해커가 희생자에게 위장한 mail 등을 보낸 후, 자신의 세션을 사용하여 로그인하도록 유도
② 세션 하이재킹 (Session Hijacking)
스니핑 기법으로, 시퀸스 넘버를 획득한 후 이를 이용하여 server-client 간 연결을 끊고 서버와 직접 소통한다. server-client의 중간에서 관리/확인이 가능.
③ URL jumping
URL 주소창을 조작하여 관리자의 권한으로 수행할 수 있는 게시물 수정 및 삭제에 접근
(가짜 댓글 달기)
④ 변조
정상 로그인 후, 쿠키, 세션 parameter 등을 변조해서 관리자의 권한으로 수행할 수 있는 일들 수행.
다음 시간까지 내가 맡은 과제는 CSRF와 XSS의 차이점에 대하여 조사해보고, 서버 등록 및 snort 설치를 완료하는 것이다.
'outside activities > [정보보안 프로젝트. 웹 해킹]' 카테고리의 다른 글
| [Day 4-6] 방학 중 미팅 및 공모전 참가신청서 제출 (0) | 2017.09.05 |
|---|---|
| XSS와 CSRF의 차이점 (0) | 2017.07.25 |
| burp suite 프록시 설정 (0) | 2017.05.18 |
| 네트워크 구성도 구현 및 문제점 보완 (0) | 2017.05.02 |
| [Day 2] 네트워크 보안장비에 대한 학습 (0) | 2017.04.10 |