보호되어 있는 글입니다.

Stored XSS1. 악성스크립트가 서버에 저장2. 서버의 응답에 XSS가 담겨옴​드림핵 툴즈를 이용해서 이용자의 접속 기록을 저장하는 랜덤 URL을 생성한다./flag의 입력창에 URL과 document.cookie를 입력한 후, 접속 기록을 확인해본다.flag가 나타나는 것을 알 수 있다.#2. /memo에 임의 이용자의 쿠키 정보를 확인하기@app.route("/memo")def memo():    global memo_text    text = request.args.get("memo", "")    memo_text += text + "\n"    return render_template("memo.html", memo=memo_text)/vuln에서 발생하는 xss 취약점을 통해 쿠키를 탈취..

🍪쿠키 웹 서버에서 클라이언트를 기억하기 위한 단위.클라이언트는 서버에 요청을 보낼 때마다 쿠키를 포함하고, 서버는 해당 쿠키를 통해 클라이언트를 식별함.(Key, Value로 이루어짐) HTTP 프로토콜에서는 Connectionless, Stateless의 특징을 가지고 있는데,쿠키는 이 특성을 가진 HTTP의 상태를 유지하게 해줌 (기억) Connectionless하나의 요청에 하나의 응답 후 연결 종료( 연속적 X. 매번 끊어져 다시 새로운 연결)Stateless통신이 끝난 후 상태 정보를 저장하지 않는 것. 서버에서 쿠키를 설정하는 방법HTTP 응답 중 헤더에 쿠키 설정 헤더(Set-Cookie)를 추가한다.from flask import Flask, make_responseapp = Flask..

https://spacefriend.tistory.com/39 (Ubuntu) FWSnort와 psad 결합, psad 설치하기https://spacefriend.tistory.com/38 (Ubuntu) FWSnort 리눅스에 설치/ iptables 차단식 전환하기Contents. 클릭하면 이동합니다. 🚀   FWSnort란? IDS(Snort)와 IPS(IPtalbes)를 결합해 스노트 탐지식을 IPTables 방화벽에서spacefriend.tistory.com이전 게시글을 토대로 공격을 진행해볼 것이다.   그동안 진행했던 "네트워크 보안"을 주제로 작성했던 SSR을 토대로IDS, IPS, 방화벽에 핵심 역할을 하는 FWSnort, IPTables, PSAD 사용 방법과 실습을 숙지하였다. 분투 ..

https://spacefriend.tistory.com/38 (Ubuntu) FWSnort 리눅스에 설치/ iptables 차단식 전환하기Contents. 클릭하면 이동합니다. 🚀   FWSnort란? IDS(Snort)와 IPS(IPtalbes)를 결합해 스노트 탐지식을 IPTables 방화벽에서 적용하는 기능을 사용할 수 있다.  FWSnort 도구에 대한 자세한 설명https://www.ciphspacefriend.tistory.comFWSnort가 설치되어있지 않다면 해당 게시글을 참고 바랍니다.  PSAD의 필요성FWSnort만을 사용하면 공격을 탐지하고 iptables로부터 로그 메시지를 생성할 수는 있지만 FWSnort와 iptables는 실제 내용을 보고하거나 표준 정보들을 자세하게 보..

FWSnort란? IDS(Snort)와 IPS(IPtalbes)를 결합해 스노트 탐지식을 IPTables 방화벽에서 적용하는 기능을 사용할 수 있다.  FWSnort 도구에 대한 자세한 설명https://www.cipherdyne.org/fwsnort/ fwsnort - iptables Intrusion Detection with String Matching and Snort RulesMichael Rash, Security Researcherwww.cipherdyne.org  ✒️ 1.설치 과정 설치를 위해서는 snort가 설치되어 있는 상태여야 한다.  cat /etc/snort/rules/local.rules해당 명령어를 통해 snort rules에 나타나있는 sid:1341을 확인할 수 있다.이를..

개발자 도구 (Devtools)Chrome 브라우저 내부에 있는 개발자 도구를 탐색해볼 것이다.개발자 도구는 디버깅을 빠르게 하고 웹 내부를 확인해보기에 용이하다. html, 개발자 도구를 숙지한다는 것은 웹 해킹의 기초이다. ( 글을 작성할 당시 포켓로그라는 웹 게임에 빠져있었는데, 웹 기반임에도 사이트가 상당히 잘 돌아가서 신기했다. 당시에 개발자 도구로 웹 소스코드 내부를 한번 확인해보고 싶어서 해당 사이트를 예시로 개발자 도구 글을 작성했다..ㅎ ) 그 밖에도 개발자 도구로 확인할 수 있는 부분은 다음과 같은 것들이 있다.HTML, CSS코드를 브라우저에서 수정 가능함HTTP 패킷 자세한 확인 가능JavaScript 코드에서는 디버거도 함께 제공됨개발자 도구 실행하기처음 Chrome을 실행하고 원..

Web 이란? HTTP를 이용해 정보를 공유하는 서비스웹 클라이언트와 서비의 통신을 통해 웹 서비스에 통신할 수 있음. 수립 과정1. 요청] 클라이언트 (웹 서버에 접속, 이용자의 요청 해석, HTTP-> 서버에 리소스 요청) ->2. 응답] 서버 (HTTP 요청 해석, 내부적인 연산 처리, HTTP -> 이용자에게 전달) ->3. 클라이언트 ( 응답받은 HTML, CSS, JS를 시각화 함 ) 프로토콜 (Protocol)규격화된 일련의 규칙. with Syntax.( 프로토콜의 종류 : HTTP, TCP/IP, FTP ... ) Web Browser.UX를 제공하는 소프트웨어 중 일종 .서버와 HTTP 통신을 대신하며, 수신한 리소스를 시각화한다. Web Rendering.서버로부터 받은 리소스를 이용..