DarkSoul.Story

Steps. 1. 개요 2. 테스트 방법 1. 개요 개발자가 소스코드에 대한 상세한 설명 및 메타 데이터를 포함하는 것은 매우 흔한 일이다. 그러나 HTML 코드에 포함된 의견이나 메타 데이터는 잠재적인 공격자에게 제공되어서는 안되는 내부 정보가 포함되어 있을 수 있다. 의견이나 메타데이터 리뷰는 어떤 정보가 노출되어 있는지 확인하기 위해 반드시 수행되어야 한다. 2. 테스트 방법 웹 페이지 개발 당시 개발자는 어플리케이션 프로그램에 대한 디버깅 정보를 HTML 주석을 이용해서 많이 작성한다. 개발자는 이러한 주석을 개발이 완료된 후 서비스 오픈 하기 전에 모두 삭제 해야 하지만 그렇지 않고 종료하는 경우가 빈번히 발생한다. 공격자는 어플리케이션 프로그램에 대한 자세한 정보를 얻기 위해 웹 브라우저에서 ..

Vulnerability Assessment/Web Application 2016. 7. 2. 14:47

Steps. 1. 개요 2. 테스트 방법 1. 개요 검색엔진을 이용하여 노출된 정보를 확인하는 방법은 간접적인 방법과 직접적인 방법이 있다. 직접 방법은 인덱스와 캐시에서 관련 콘텐츠를 검색하는 것이며, 간접 방법은 검색 포럼, 뉴스 그룹 등에서 민감한 정보를 수집하는 것이다. 검색 엔진 로봇이 크롤링을 완료하면, 관련 검색 결과를 리턴하기 위해 태그 및 와 같은 속성을 기초하여 웹 페이지를 인덱싱 한다. 검색 엔진 로봇이 수집하는 데이터는 서버에 캐시상태로 저장하기 때문에, 해당 사이트가 삭제된 후 오랜 시간이 지나기 전엔 검색결과에노출된다. 그렇기 때문에 이전 페이지가 그대로 노출 될 수 있으며, 이 데이터를 모으면 손쉽게 취약점을 찾을 수 있다. 2. 테스트 방법 검색 엔진을 사용하여 네트워크 다이..

Vulnerability Assessment/Web Application 2016. 7. 2. 14:30

(XSS 필터 우회 치트 시트 : XSS Filter Evasion Cheat Sheet) 크로스 사이트 스크립트(XSS)는 어플리케이션에서 브라우저로 데이터는 전송하는 페이지에서 사용자가 입력한 데이터를 검증하지 않거나, 데이터 출력 시 위험한 데이터를 필터하지 않을 때 발생한다. XSS는 일반적으로 자바스크립트에서 발생 하지만, VB 스크립트등 클라이언트에서 실행되는 동적 데이터를 생성하는 모든 언어에서 발생할 가능성이 있다. XSS 취약점을 이용한 악성 스크립트 배포, 악성코드 배포등 개인 및 조직의 보안에 큰 위협이 되고 있다. 아래는 OWASP에서 제공하는 XSS 필터를 우회하기 위한 치트 시트이다. 1) XSS Locator';alert(String.fromCharCode(88,83,83))/..

Vulnerability Assessment/Web Application 2016. 4. 27. 13:00