전체 글439 명령어 삽입공격&레이스 컨디션 명령어 삽입 공격은 기존의 명령어들을 재사용하거나 쉘 명령어들을 이용해 특정 기능을 수행할 때 발생할 수 있다. 기존의 소프트웨어나 소프트웨어를 구축했던 지식을 사용해 새로운 소프트웨어를 개발하는 일을 코드재사용 또는 소프트웨어 재사용이라고 한다. 짧은 코드, 탬플릿, 라이브러리, 크게는 프로그램 자체를 재사용해 시간을 단축한다. 어떠한 기능을 수행하는 코드를 만들 때 해당 기능을 수행하는 외부 프로그램을 사용하면 개발시간을 단축하고 결과물을 더 가공할 수 있다. 많은 프로그래밍언어들이 외부 프로그램을 수행하기 위한 방법으로 텍스트 기반 명령어 처리기를 이용한다. 명령어 처리기 C언어에서는 외부 프로그램을 수행할 수 있는 함수로 system() 함수를 제공한다. 이 함수는 운영체제의 기본명령어 처리기로,.. 2016. 11. 22. 4장 시스템해킹 3 4.8실전 4.8.1. 크래시 발생시키기 FTP 서버 프로그램인 FreeFloat FTP는 사용자가 로그인에 성공한 이후 특정 명령어에 인자값을 받을 때 길이를 확인하지 않고, 이로 인해 지역 변수에서 버퍼 오버플로우가 발생하는 것입니다. 이 취약점을 이용해 스택 영역에 있는 리턴 주소를 덮어써서 EIP를 조작할 수 있습니다. 메모리 오염을 공격하는 첫 단계는 프로그램이 실행중에 죽는 현상을 재현하는 POC(개념 재현)코드를 작성하는 것입니다. 이 공격 코드를 실행하면 프로그램이 오류를 발생시키면서 죽는 것을 확인 할 수 있습니다. 어떤 이유로 프로그램이 죽는지를 확인하기 위해 디버거를 실행해 보았습니다. 실패.. 성공 했다면 FTPServer가 죽은 원인을 디버거를 통해 분석 할 수 있습니다. 4.8... 2016. 11. 20. 웹해킹 2 구글 해킹 -구글 검색을 활용한 해킹 방법 -구글링 1)부울 연산자 2) 검색 연산자 "" 같은 경우는 "단어" => 인용부호 ""을 사용해 특정 단어,문구를 검색한다. ~ 같은 경우는 ~단어 => 동의어 또는 관련 검색어와 같이 검색된다. * 같은 경우는 "ABC*EFG" => 알 수 없는 단어가 위치한 부분에 * 연산자를 사용해 검색한다. _같은 경우는 "ABC_EFG" => 숫자사이에 _를 넣어 가격, 수치와 같이 범위 문서를 검색한다. 3) 고급 연산자 -검색을 이용한 공격 =>주소에 "google"을 포함하지 않는 사이트에서 "google" 문자열 검색 -관리자 페이지 권한의 실수, 노출 관리자 페이지로 추측할 수 있는 주소 -구글해킹 예제 크로스 사이트 스크립팅으로 가능한 것들 -크로스 사.. 2016. 11. 1. 웹 해킹 2.6 크로스 사이트 스크립팅 2.6.1 크로스 사이트 스크립팅 크로스 사이트 스크립팅이란 웹 페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도할 수 있다. 예를 들어 위와 같이 검증되지 않은 외부입력이 웹페이지 생성에 사용될 경우, 전송된 웹 페이지를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되어 정보 유출 등의 공격을 유발할 수 있다. 이 취약점으로 해커가 사용자의 정보를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있다. XSS 공격 방법 → Reflected XSS : 사용자가 입력한 값이 응답 페이지에서 실행되는 공격방법 → Stored XSS : 주로 게시판의 악성 스크립트가 삽입된 형태로 공격이 이루어진다. 사용자 의 입력값을 그대로 저장해 출력하는.. 2016. 11. 1. 이전 1 ··· 105 106 107 108 109 110 다음
