Almon Dev

1. 개요 정보 누출 이란?정보 누출 취약점(Information Disclosure)이란 시스템이나 애플리케이션이 원래 사용자에게 노출되지 않아야 할 정보(시스템 정보, 에러 메시지 등)가 노출되는 보안 취약점을 말합니다. 공격자는 이런 정보를 활용해 시스템 구조를 파악하거나, 2차 공격(SQL Injection 등)을 준비할 수 있습니다. 보안 패치의 목적 및 중요성정보 누출 취약점이 존재하면 노출되지 않아야 할 정보(시스템 정보, 에러 메시지 등)가 외부로 노출되어 공격자가 시스템을 분석하고, 추가적인 공격을 시도할 수 있습니다. 따라서 정보 누출 취약점에 대한 보안 패치는 다음과 같은 목적을 가집니다. 1. 공격자가 시스템 구조(파일 경로, 데이터베이스 구조 등)를 파악하는 것을 차단합니다.2. ..

1. 개요 디렉터리 인덱싱 이란?디렉터리 인덱싱(Directory Indexing)이란 웹 서버가 특정 디렉터리 내의 기본 인덱스 파일(index.php 등)이 없을 때, 해당 디렉터리 내의 모든 파일 및 폴더 목록을 표시하는 기능을 의미합니다. 이 기능이 활성화되어 있으면 공격자가 폴더 내부를 탐색하여 설정 파일, 소스코드 등 외부에 노출되선 안 되는 파일에 접근할 수 있어 보안 취약점이 될 수 있습니다. 보안 패치의 목적 및 중요성디렉터리 인덱싱 기능이 활성화된 상태에서는 공격자가 서버 내부의 파일 구조를 파악하고 민감한 정보에 접근할 수 있습니다. 따라서, 디렉터리 인덱싱을 비활성화하는 보안 패치는 다음과 같은 목적을 가집니다. 1. 공격자가 파일 목록, 구조를 확인하지 못하도록 차단합니다.2. 공..

1. 개요 XSS 이란?XSS(Cross-Site Scripting)는 웹 애플리케이션에서 사용자 입력값 검증이 미흡할 경우 발생하는 보안 취약점입니다. 공격자는 XSS 취약점을 악용해 자바스크립트, HTML 태그를 삽입하여 피해자의 브라우저에서 실행되도록 유도할 수 있으며, 이를 통해 세션 탈취, 피싱, 키로깅 등의 공격이 가능합니다. XSS의 종류는 Reflected XSS, Stored XSS, DOM-based XSS가 있습니다. Stored XSS 이란? Stored XSS는 악성 스크립트를 서버에 저장한 후, 페이지에 접속하는 모든 사용자의 브라우저에서  악성스크립트가 실행되는 공격 방식입니다.  Stored XSS 공격 흐름1. 공격자가 게시글, 닉네임, 파일 이름, 댓글 등 사용자 입력값을..

1. 개요 SQL Injection 이란? SQL Injection은 사용자가 입력한 값이 SQL 쿼리에 그대로 삽입되는 취약점을 악용하여, 임의의 SQL 문을 삽입하여 실행하는 공격입니다. 이를 통해 데이터베이스에서 무단으로 정보를 조회하거나, 로그인 인증 등을 우회할 수 있습니다. 보안 패치의 목적 및 중요성 이번 보안 패치는 SQL Injection 취약점을 제거하여 데이터베이스의 보안을 강화하는 것을 목표로 합니다. 이를 통해 불법적인 데이터 조회 및 조작을 방지하고, 로그인 인증의 안정성을 확보할 수 있습니다. Prepared Statement 이란? Prepared Statement는 SQL 쿼리를 미리 컴파일한 후, 사용자 입력값을 나중에 추가하여 실행하는 방식입니다. 이를 통해 SQL In..

보고서프로젝트 #1에서 수집한 증적 사진을 토대로 작성한 보고서입니다.다음은 이 보고서를 토대로 웹 사이트의 취약점을 수정할 예정입니다. https://docs.google.com/document/d/1YNK7FOtqYcDOAIYfGRoGL42i-L_0b9SB/edit?usp=drive_link&ouid=112622982039550499841&rtpof=true&sd=true Google Docs 로드 중Google Docs에서 파일을 엽니다. 몇 분 정도 소요될 수 있습니다.docs.google.com

Almond 게시판 증적 사진모의해킹 수업이 끝나고 아직 부족한 웹해킹 기술을 어떻게 익혀야 할까 고민이 많았습니다.그러다 수업 도중 제가 만들었던 웹사이트를 기억해내고 이 프로젝트를 시작했습니다.제가 만든 사이트를 분석하고 수정하면서 공부를 이어나가고자 합니다. 프로젝트는 아래 4가지 순서를 반복하는 것입니다.1. 웹사이트 취약점 분석2. 증적 사진 수집3. 모의해킹 보고서 작성4. 보고서를 토대로 웹사이트 수정

MySQL root 비밀번호를 설정 MySQL을 설치한 후 비밀번호를 설정하지 않으면 root 계정의 비밀번호가 비어있기 때문에 따로 설정이 필요합니다. root 비밀번호를 설정해야 하는 이유root 비밀번호가 설정되어 있지 않은 경우 MySQL에 접속할 수 있다면, 누구나 root 계정으로 DB에 접속해 모든 정보를 열람할 수 있으므로 보안에 큰 위험이 됩니다.특히 MySQL이 원격 접속이 가능하게 설정된 경우, 외부에서 접속해 중요 정보를 탈취할 수 있으므로 반드시 비밀번호를 설정해야 합니다.  root 비밀번호 변경아래의 순서를 따라 변경하시면 됩니다.  1. mysql 접속sudo mysql -u root -p비밀번호를 설정하기 위해 mysql에 root 계정으로 접속합니다.   2. 현재 비밀번..

보고서https://docs.google.com/document/d/1IZlCIhuh-ELrzcQLGHVd7c8qNetTsbj_/edit?usp=drive_link&ouid=112622982039550499841&rtpof=true&sd=true Google Docs 로드 중Google Docs에서 파일을 엽니다. 몇 분 정도 소요될 수 있습니다.docs.google.comword 파일에 비밀번호가 설정되어 있습니다.