Almon Dev

1. 개요 CSRF 이란? CSRF(Cross-Site Request Forgery)는 사용자의 의도와는 무관하게 사용자의 권한으로 임의의 요청을 웹 애플리케이션에 전송하게 만드는 공격 기법입니다. 사용자가 로그인된 상태에서 악성 링크, 자동으로 폼을 전송하는 스크립트가 포함된 페이지(게시글, 이메일 등)를 방문하면, 해당 페이지는 사용자의 권한으로 원하지 않는 요청을 전송할 수 있습니다. CSRF는 요청을 보낼 때, 사용자의 실제 의도인지 확인할 수 있는 일회성 인증(CSRF 토큰, CAPTCHA 등)이 없거나 검증 절차가 부족한 경우에 발생합니다. 이로 인해 서버는 공격자가 의도한 요청을 정상적인 사용자 요청으로 처리하게 됩니다.   CSRF 공격 흐름1. 사용자가 로그인 상태로 웹 사이트에 접속해 ..

1. 개요 정보 누출 이란?정보 누출 취약점(Information Disclosure)이란 시스템이나 애플리케이션이 원래 사용자에게 노출되지 않아야 할 정보(시스템 정보, 에러 메시지 등)가 노출되는 보안 취약점을 말합니다. 공격자는 이런 정보를 활용해 시스템 구조를 파악하거나, 2차 공격(SQL Injection 등)을 준비할 수 있습니다. 보안 패치의 목적 및 중요성정보 누출 취약점이 존재하면 노출되지 않아야 할 정보(시스템 정보, 에러 메시지 등)가 외부로 노출되어 공격자가 시스템을 분석하고, 추가적인 공격을 시도할 수 있습니다. 따라서 정보 누출 취약점에 대한 보안 패치는 다음과 같은 목적을 가집니다. 1. 공격자가 시스템 구조(파일 경로, 데이터베이스 구조 등)를 파악하는 것을 차단합니다.2. ..

1. 개요 디렉터리 인덱싱 이란?디렉터리 인덱싱(Directory Indexing)이란 웹 서버가 특정 디렉터리 내의 기본 인덱스 파일(index.php 등)이 없을 때, 해당 디렉터리 내의 모든 파일 및 폴더 목록을 표시하는 기능을 의미합니다. 이 기능이 활성화되어 있으면 공격자가 폴더 내부를 탐색하여 설정 파일, 소스코드 등 외부에 노출되선 안 되는 파일에 접근할 수 있어 보안 취약점이 될 수 있습니다. 보안 패치의 목적 및 중요성디렉터리 인덱싱 기능이 활성화된 상태에서는 공격자가 서버 내부의 파일 구조를 파악하고 민감한 정보에 접근할 수 있습니다. 따라서, 디렉터리 인덱싱을 비활성화하는 보안 패치는 다음과 같은 목적을 가집니다. 1. 공격자가 파일 목록, 구조를 확인하지 못하도록 차단합니다.2. 공..

1. 개요 SQL Injection 이란? SQL Injection은 사용자가 입력한 값이 SQL 쿼리에 그대로 삽입되는 취약점을 악용하여, 임의의 SQL 문을 삽입하여 실행하는 공격입니다. 이를 통해 데이터베이스에서 무단으로 정보를 조회하거나, 로그인 인증 등을 우회할 수 있습니다. 보안 패치의 목적 및 중요성 이번 보안 패치는 SQL Injection 취약점을 제거하여 데이터베이스의 보안을 강화하는 것을 목표로 합니다. 이를 통해 불법적인 데이터 조회 및 조작을 방지하고, 로그인 인증의 안정성을 확보할 수 있습니다. Prepared Statement 이란? Prepared Statement는 SQL 쿼리를 미리 컴파일한 후, 사용자 입력값을 나중에 추가하여 실행하는 방식입니다. 이를 통해 SQL In..

보고서프로젝트 #1에서 수집한 증적 사진을 토대로 작성한 보고서입니다.다음은 이 보고서를 토대로 웹 사이트의 취약점을 수정할 예정입니다. https://docs.google.com/document/d/1YNK7FOtqYcDOAIYfGRoGL42i-L_0b9SB/edit?usp=drive_link&ouid=112622982039550499841&rtpof=true&sd=true Google Docs 로드 중Google Docs에서 파일을 엽니다. 몇 분 정도 소요될 수 있습니다.docs.google.com

Almond 게시판 증적 사진모의해킹 수업이 끝나고 아직 부족한 웹해킹 기술을 어떻게 익혀야 할까 고민이 많았습니다.그러다 수업 도중 제가 만들었던 웹사이트를 기억해내고 이 프로젝트를 시작했습니다.제가 만든 사이트를 분석하고 수정하면서 공부를 이어나가고자 합니다. 프로젝트는 아래 4가지 순서를 반복하는 것입니다.1. 웹사이트 취약점 분석2. 증적 사진 수집3. 모의해킹 보고서 작성4. 보고서를 토대로 웹사이트 수정

보고서https://docs.google.com/document/d/1IZlCIhuh-ELrzcQLGHVd7c8qNetTsbj_/edit?usp=drive_link&ouid=112622982039550499841&rtpof=true&sd=true Google Docs 로드 중Google Docs에서 파일을 엽니다. 몇 분 정도 소요될 수 있습니다.docs.google.comword 파일에 비밀번호가 설정되어 있습니다.

증적 사진https://drive.google.com/file/d/1gd5UPZ_Aeofu7kJ0TG8aZ_cMq8F3sUmA/view?usp=drive_link 프로젝트_3주차_증적사진.zip drive.google.comzip 파일에 비밀번호가 설정 되어 있습니다.