sql injection으로 일반 사용자들의 ID와 PW를 탈취 했을 때 PW는 해시값으로 암호화 되어 있는 경우가 많음 해시값은 일방향 암호화라 복호화를 할 수 없음 - 암호화(cryptology) - 해시함수와 인증서 (tistory.com) 하지만 해시값을 입력하면 원문을 알려주는 크래킹 사이트들이 있으며 이는 복호화를 해서 알려주는 것이 아닌 패스워드로 자주 사용되는 문자들을 DB에 저장 해 두고 해시값을 입력 했을 때 DB에서 찾아 출력 해주는 방식으로 알려주는 것 즉 해당 사이트는 모든 해시값들을 원문으로 알려줄 수 없음, hashcat 또한 이와 같은 방식으로 원문을 찾아줌 hashcat 사용법 옵션 -m : 크랙 하고자 하는 해시 종류 지정 900 : MD4 0 : MD5 5100 : Ha..

CSRF(Cross-Site Request Forgery), 교차 사이트 요청 위조 인증된 사용자가 웹 애플리케이션에 특정 요청을 보내도록 유도하는 공격 기법 해당 공격 기법을 통해 사용자의 정보 탈취가 가능하지만 이보다는 특정 작업을 무단으로 진행하기 위한 목적으로 이루어지는 경우가 많음 CSRF 공격을 시행하기 위한 조건 피해자는 사이트에 로그인이 되어 있어야 한다. 피해자는 공격자가 쓴 게시물이나 메일에 접속 해야 한다. 2008년 옥션에서도 CSRF 해킹 공격을 받은적이 있었습니다. 해당 공격은 다음과 같이 진행 되었습니다. 1. 공격자(해커)가 다음과 같이 img 태그에 코드를 추가하여 옥션 관리자한테 메일을 전송 *옥션 관리자는 옥션에 관리자 계정으로 로그인 되어 있던 상황입니다. 2. 옥션 ..

XSS(Cross Site Scripting) : 공격자가 공격하고자 하는 사이트에 스크립트를 삽입하는 기법으로 해당 사이트에 접속하는 일반 사용자는 공격자가 삽입한 스크립트를 실행시켜 공격을 받게 됩니다. 스크립트는 공격자에 따라 다양하게 작성이 가능하기 때문에 공격 또한 다양하게 가능합니다. 대표적으로 Reflected XSS, Stored XSS, DOM XSS가 있습니다. 모의 해킹 실습에는 DVWA를 사용했습니다. DVWA(Damn Vulnerable web Application) : 웹 취약점에 대한 실습을 할 수 있도록 단계별로 보안이 적용된 웹 애플리케이션 입니다. 1. Reflected XSS Reflect, 반사하다 즉 말 그대로 사용자가 입력한 값을 그대로 실행시켜 사용자한테 보여줍니..