Information Security

Webhacking 사이트에서는 여러 난이도의 문제가 있다. 각 문제마다 점수별로 나뉘어져 있고 점수가 높을수록 문제의 난이도는 더 어려운 형식이다. 하지만 1번 문제같은 경우에는 Burp를 쓰면 간단히 해결할 수 있다. Level 1의 문제. 1번 문제를 클릭하고 들어가면 [그림 1] 처럼 Level : 1 문구가 적혀있는 화면만 뜨고 아무것도 나타나지 않는다. 하지만 [그림 2]와 같이 index.phps 를 클릭했을 때 해당 소스코드가 나타난다. 위의 소스코드를 확인해보면 user_lv는 "1" 로 설정되어 있고 두번째 빨간색 칸으로 표시해놓은 화면을 보면 if문을 통해 user_lv가 5보다 크고 6보다 작아야 한다는 조건이 있는것을 알 수 있다. [그림 3]의 소스코드를 통해 얻은 힌트를 가지고..

CSRF란? Cross - Site Request Forgery : 교차 사이트 요청 위조 라고 할 수 있다 특정 사용자를 대상으로 하지 않고 불특정 다수를 대상으로 로그인된 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정,삭제,등록,송금 등)를 하게 만드는 공격기법. CSRF는 기본적으로 XSS (Cross Site Script) 공격과 매우 유사하다. XSS 공격의 발전된(변종된) 형태로 보기도 한다. 둘의 차이점은 XSS 공격은 악성 스크립트가 클라이언트에서 실행되는 반면에 CSRF 공격은 사용자가 악성 스크립트를 서버에 요청한다는 차이가 있다, 즉 XSS는 script를 이용한 공격을 할 수 있고 CSRF는 HTML을 이용한 공격이라고 할 수 있다. 일반적으로 CSRF 공격이 성공하려..