Almon Dev

1. 개요 불충분한 세션 만료 이란?불충분한 세션 만료란 사용자의 인증 세션이 오랜 시간이 지나도 만료되지 않거나, 로그아웃 시 세션이 정상적으로 종료되지 않아 세션 ID가 유효하게 남아 있는 취약점을 의미합니다. 예를 들어, 사용자가 로그아웃하지 않고 브라우저를 종료하거나, 장시간 동안 아무런 활동 없이 세션이 유지되는 경우, 공격자가 해당 세션을 탈취하여 재사용할 수 있습니다. 특히 도서관, PC방 등 공용 컴퓨터에서 웹 서비스를 이용할 경우, 다음 사용자가 이전 사용자의 세션을 악용해 계정에 무단 접근하는 상황이 발생할 수 있습니다. 해당 취약점은 세션 탈취, 권한 악용, 민감 정보 탈취 등의 보안 사고가 발생할 수 있습니다. 보안 패치의 목적 및 중요성공격자가 세션 식별자(세션 ID 등)를 탈취하..

1. 개요 CSRF 이란? CSRF(Cross-Site Request Forgery)는 사용자의 의도와는 무관하게 사용자의 권한으로 임의의 요청을 웹 애플리케이션에 전송하게 만드는 공격 기법입니다. 사용자가 로그인된 상태에서 악성 링크, 자동으로 폼을 전송하는 스크립트가 포함된 페이지(게시글, 이메일 등)를 방문하면, 해당 페이지는 사용자의 권한으로 원하지 않는 요청을 전송할 수 있습니다. CSRF는 요청을 보낼 때, 사용자의 실제 의도인지 확인할 수 있는 일회성 인증(CSRF 토큰, CAPTCHA 등)이 없거나 검증 절차가 부족한 경우에 발생합니다. 이로 인해 서버는 공격자가 의도한 요청을 정상적인 사용자 요청으로 처리하게 됩니다.   CSRF 공격 흐름1. 사용자가 로그인 상태로 웹 사이트에 접속해 ..

1. 개요 약한 문자열 강도 취약점 이란?약한 문자열 강도 취약점은 사용자가 비밀번호를 단순하거나 예측 가능한 형태로 설정할 수 있는 취약점을 말합니다. 예를 들어 password123!, admin1234, 또는 아이디, 전화번호와 같이 추측하기 쉬운 정보를 이용한 비밀번호 등은 공격자에게 쉽게 노출될 수 있습니다.이러한 취약점은 사전 대입 공격이나 무차별 대입 공격에 취약합니다. 공격자는 자동화된 스크립트를 사용하여 짧은 시간 내에 비밀번호를 추측할 수 있으며, 사용자 계정에 대한 인증 우회가 가능해집니다.계정에 접근한 공격자는 민감한 정보를 탈취하거나 권한을 악용할 수 있습니다. 따라서 문자열 강도를 강화하고 보안 정책을 통해 강제하는 것은 웹 애플리케이션의 보안을 유지하는 데 있어 매우 중요합니다..

1. 개요 디렉터리 인덱싱 이란?디렉터리 인덱싱(Directory Indexing)이란 웹 서버가 특정 디렉터리 내의 기본 인덱스 파일(index.php 등)이 없을 때, 해당 디렉터리 내의 모든 파일 및 폴더 목록을 표시하는 기능을 의미합니다. 이 기능이 활성화되어 있으면 공격자가 폴더 내부를 탐색하여 설정 파일, 소스코드 등 외부에 노출되선 안 되는 파일에 접근할 수 있어 보안 취약점이 될 수 있습니다. 보안 패치의 목적 및 중요성디렉터리 인덱싱 기능이 활성화된 상태에서는 공격자가 서버 내부의 파일 구조를 파악하고 민감한 정보에 접근할 수 있습니다. 따라서, 디렉터리 인덱싱을 비활성화하는 보안 패치는 다음과 같은 목적을 가집니다. 1. 공격자가 파일 목록, 구조를 확인하지 못하도록 차단합니다.2. 공..

1. 개요 SQL Injection 이란? SQL Injection은 사용자가 입력한 값이 SQL 쿼리에 그대로 삽입되는 취약점을 악용하여, 임의의 SQL 문을 삽입하여 실행하는 공격입니다. 이를 통해 데이터베이스에서 무단으로 정보를 조회하거나, 로그인 인증 등을 우회할 수 있습니다. 보안 패치의 목적 및 중요성 이번 보안 패치는 SQL Injection 취약점을 제거하여 데이터베이스의 보안을 강화하는 것을 목표로 합니다. 이를 통해 불법적인 데이터 조회 및 조작을 방지하고, 로그인 인증의 안정성을 확보할 수 있습니다. Prepared Statement 이란? Prepared Statement는 SQL 쿼리를 미리 컴파일한 후, 사용자 입력값을 나중에 추가하여 실행하는 방식입니다. 이를 통해 SQL In..

보고서프로젝트 #1에서 수집한 증적 사진을 토대로 작성한 보고서입니다.다음은 이 보고서를 토대로 웹 사이트의 취약점을 수정할 예정입니다. https://docs.google.com/document/d/1YNK7FOtqYcDOAIYfGRoGL42i-L_0b9SB/edit?usp=drive_link&ouid=112622982039550499841&rtpof=true&sd=true Google Docs 로드 중Google Docs에서 파일을 엽니다. 몇 분 정도 소요될 수 있습니다.docs.google.com

Almond 게시판 증적 사진모의해킹 수업이 끝나고 아직 부족한 웹해킹 기술을 어떻게 익혀야 할까 고민이 많았습니다.그러다 수업 도중 제가 만들었던 웹사이트를 기억해내고 이 프로젝트를 시작했습니다.제가 만든 사이트를 분석하고 수정하면서 공부를 이어나가고자 합니다. 프로젝트는 아래 4가지 순서를 반복하는 것입니다.1. 웹사이트 취약점 분석2. 증적 사진 수집3. 모의해킹 보고서 작성4. 보고서를 토대로 웹사이트 수정