30./31. Web (17) 썸네일형 리스트형 Actionscript XSS using flash Actionscript XSS using FlashFlash의 Action Script를 이용한 XSS Source Code /*modify by. oneandonlyme.kain@gmail.com2014/04/29xss - flash security test script.ref: fly_flash*/ import flash.net.*;import flash.events.SecurityErrorEvent; var param:Object = root.loaderInfo.parameters;var action:String = param["a"];var cmd:String = param["c"]; function attack(action){switch (action){case "l" :// location U.. URL 한글 인코딩, 디코딩 URL 한글 인코딩, 디코딩 Encoding 한글 > Decoding %ED%95%9C%EA%B8%80 > OpenSSL HeartBleed 취약점 OpenSSL HeartBleed 취약점네트워크를 통한 데이터 통신에 쓰이는 프로토콜인 TLS와 SSL의 오픈 소스 구현판인 OpenSSL의 라이브러리인 HeartBeat에서 서버에 저장된 중요 메모리 데이터가 노출되는 취약점 발견되었습니다.* 본 보안 취약점(CVE-2014-0160)은 하트블리드(HeartBleed)로 알려져 있음 ※ 참조 : http://heartbleed.com/ 발생 원인OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이 검증을 수행하지 않아 시스템 메모리(서버)에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점입니다.· HeartBeat : 통신 시 연결의 유지, 서버.. The Hacker Firefox The Hacker Firefox21개의 Addon이 설치되어 있는 포터블 Firefox Tool name The Hacker Firefox Author YGN Ethical Hacker Group Website http://sourceforge.net/projects/hackfox/ License type Free Download 설치되어있는 Addon 목록 1. Firebughttps://addons.mozilla.org/ko/firefox/addon/firebug/2. Googlebar Litehttps://addons.mozilla.org/ko/firefox/addon/googlebar-lite/3. HackBarhttps://code.google.com/p/hackbar/4. JavaScript.. 22. 세션고정(SF) 취약점 22. 세션고정(SF) 취약점취약점 설명 세션값을 고정하여 명확한 세션 식별자(ID) 값으로 사용자가 로그인하여 정의된 세션 식별자(ID)가 사용 가능하게 되는 취약점 판단기준(조건)- 로그인(인증절차) 전후로 세션이 변하지 않고 처음 웹 서버에 접속할때 세션을 고정하여 사용한다- IP가 다른 두개의 PC에서 동일한 세션으로 접근이 가능하다 모의해킹 시나리오해커는 웹(Target)서버에 접근하여 정상 세션을 발급받는다.해커는 희생자(admin)에게 해커가 받은 정상 세션을 강제로 Set-Cookie하고 웹으로 리다이렉트 하는 스크립트를 메일로 전송한다.희생자(admin)는 해커가 보낸 메일을 확인하고 스크립트를 실행한다.희생자(admin)는 웹(Target)에 접근할때 해커와 같은 세션으로 접근하게 된다.. Flash SWF을 이용한 XSS XSS using a Flash SWF a tiny tool for swf hacking, just browse it:) param&value: a(action) - c(cmd)1.location to url: xss.swf?a=location&c=http://www.google.com/ 2.open url to new window: xss.swf?a=open&c=http://www.google.com/ 3.http request to url: xss.swf?a=get&c=http://www.google.com/ 4.eval js codz: xss.swf?a=eval&c=alert(document.domain)-----------------------------------------------------.. [DVWA] Damn Vulnerable Web Application 설치 DVWADamn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, help web developers better understand the processes of securing web applications and aid teachers/students to teach/learn web application security in a class room environment. 다운로드 경로 : http://.. 인터넷 익스플로러에서 프록시 서버를 통한 설정 후, 직접 통신 중간 프록시 툴에 안 잡히게 하기.+) 중간 프록시 툴 Charles는 레코딩 할 URL만 따로 지정 가능 함.+) Mozilla Firefox는 프록시 서버를 잡아둔 브라우저만 프록시 툴에서 잡힘. 사용 도구 : 익스플로러(iexplorer 8), 웹 프록시 툴(burp suite) ※ 참고자료 : http://support.microsoft.com/kb/602066/ko 인터넷 익스플로러에서 프록시 서버를 통한 연결 설정 후, 특정 주소들은 프록시 서버를 통하지 않고 바로 연결되도록 다음과 같이 지정할 수 있습니다. 도구 - 인터넷 옵션 - 연결 – LAN 설정으로 갑니다. 위에서 프록시 서버 설정부분에 등록할 프록시 서버 주소와 포트를 입력합니다. 고급 탭을 클릭한 후, 예외란에 Proxy를 통하지.. 이전 1 2 3 다음
