Hacking/Web technique

디렉터리 리스팅(directory listing)취약점

구글 검색 Apache : index of Tomcat : Listing for IIS서버: _vti_cnf , 부모디렉터리 이동 기타 : asp, jsp, php.bak 그외: phpinfo(), test.php, set rs

2017. 2. 5. 21:10
Hacking/Web technique

WAF(Web Application Firewall) 웹 방화벽

WAF란 Web Application Firewall의 약자로서 웹 방화벽을 나타낸다. WAF는 웹에 특화된 L7방화벽이다. 웹 서비스 취약점을 이용한 공격을 탐지/차단하는 보안시스템으로 OWASP top 10을 기반으로 적용된 차단 룰을 바탕으로 방어한다. OWASP top 10이란 국제 웹 보안 표준기구이며 3년마다 웹 어플리케이션 취약점 중 빈도가 높고 영향을 많이 줄 수 있는 취약점 Top10을 정리해서 발표하는 것이다. 공식사이트는 https://www.owasp.org 이다. 현 날짜 2016.04.25 에는 최근 OWASP top 10은 2013년도이며 2016년에 새롭게 갱신 될 예정이다. (사진출처:http://blog.naver.com/dorose2000/220593904146) 지금의..

2016. 4. 25. 16:27
Hacking/Web technique

Cookie, Session

Cookie Cookie는 웹이 연결지향적 성격을 가지고 있지 않기 때문에 쿠키값을 이용하여 이사람이 접속/로그인중이다를 식별한다. Cookie는 persistent cookie와 session cookie (session)를 구분한다. persistent cookie (지속적) session cookie (임시적) web cookie, tracking cookie, cookie라 불림 session이라고 불림 web에서 사용자 식별, 정보유지, 세션유지에 사용 통신 연결에서 두 개체의 활성화된 접속을 뜻함 삭제시기는 따로 없고 직접 삭제해야한다 브라우저를 닫을때 자동으로 서버에서 삭제된다 클라이언트의 하드디스크에 저장됨 웹 클라이언트 캐쉬에 저장됨 persistent cookie는 지속적으로 하드에 저..

2015. 12. 14. 23:19
Hacking/Web technique

Encoding(인코딩)

인코딩이란 어떠한 내용을 데이터의 형태를 바꾸는 형식을 말한다. 반대개념으로는 디코딩이 있고, 여러가지 인코딩종류가 있다. 암호화와는 다른 개념이다. ASCII(아스키코드) ASCII는 인코딩의 대표적 예이며 1byte 중 7bit을 이용해 0에서 127까지 128개의 문자를 구성한 코드이다. 128개의 문자는 영어 대,소문자와 보조문자,제어문자로 만들어져 있다. URL 인코딩 원래 HEX값앞에 %를 붙여 사용함. HTML 인코딩 HTML의 특정문자를 다른 방법으로 표현가능. 공백 & &

2015. 12. 14. 23:01
Hacking/Web technique

메타문자

메타문자 메타문자란 특정 문자로 컴퓨터를 제어하는 역할을 하는 것 이다. 네이버에 art1sts를 검색하게되면 http://search.naver.com/search.naver?where=nexearch&query=art1sts&sm=top_hty&fbm=0&ie=utf8 라고 URL이 보이는데 ?부터 뒷쪽부분이 서버에 전달하는 내용이다. 다음표를 보자 ? Parameter를 넘겨줄때 사용 & Parameter 구분자 = Parameter 전달자 % Hex값으로 표현 + 공백문자 라고 정의된다.

2015. 12. 14. 22:05
Hacking/Web technique

HTTP (Hyper Text Transfer Protocol)

HTTP 인터넷 상에서 웹 서버와 클라이언트가 통신할 때 필요한 프로토콜이며 TCP기반의 응용 계층 프로토콜으로 TCP 3 ways handshacking 과정을 통해 TCP세션이 맺힌 상태에서 동작 1. TCP통신이지만 연결 지향형이 아닌 통신후 바로 서버-클라이언트의 접속이 끊기는 비연결 지향형임 2. HTTP는 평문전송을함 (보안취약) 3. 단방향성의 특징을 가지고있다. 서버에게 요청한사용자를 구분하지못함. HTTP Request Message(요청메세지) 구조 요청라인 - General Header - Request Header - Entity Header - CRLF - Body 1 (요청) GET /home/index.html HTTP/1.1 데이터 처리방식(HTTP Method) 기본 페이지..

2015. 12. 14. 20:38