공부 발자취

XSS XSS(cross-site scripting) 취약점은 공격자가 악의적인 스크립트를 삽입해 피해자의 쿠키 혹은 세션을 탈취할 수 있는 취약점이다. XSS 취약점의 종류는 아래와 같다. Stored 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨옴 Reflected 악성 스크립트가 URL에 삽입 되고 서버의 응답에 담겨옴 DOM-based 악성 스크립트가 URL Fragment에 삽입 Universal SOP 정책을 우회 태그 삽입이 되지 않도록 함으로서 취약점을 막을 수 있다. 취약한 홈페이지의 경우 1이라는 내용이 담긴 메시지 창이 뜰 것이다. 하지만, 내가 입력한 것과는 달리 alert("1") 을 확인할 수 있다. 이는 url 인코딩을 사용한 것으로 간단하지만 효과적인 방법이다. CSRF..

shellcode, opcode 등등이 머리를 어지럽게 한다. 하지만 계속 매달린 끝에 엇! 갑자기 뭔가 이해가 되었다. 문제 파일을 받으면 shell_basic.c 파일을 확인할 수 있다. main 함수가 아닌 다른 함수들은 풀이와 관련이 없다고 하니, main만 잠깐 보자 읽기, 쓰기, 실행 권한을 가진 메모리 영역을 할당해 셸코드를 저장한다. 우리는 드림핵 강의에서 아래의 코드를 배웠다. // File name: orw.c // Compile: gcc -o orw orw.c -masm=intel __asm__( ".global run_sh\n" "run_sh:\n" "push 0x67\n" "mov rax, 0x616c662f706d742f \n" "push rax\n" "mov rdi, rsp #..

보호되어 있는 글입니다.