arsenic 알쓰닉?

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.실습 진행HTTP8 - XSS Vulnerability Example문제 설명주어진 웹 애플리케이션에서 XSS 취약점을 찾아 실습하는 문제Input을 넣을 때 XSS가 발생할 수 있도록 입력하여 알람창 띄우기※ 알림창을 띄우는 게 XSS가 터짐을 알 수 있는 척도이다. 문제 풀이▶ 입력할 수 있는 칸에 XSS payload 삽입 ※ XSS payload: XSS 공격에 사용되는 악성 스크립트 코드로, 주로 JavaScript로 구성되어 사용자의 브라우저에서 실행된다.▶ 사용자의 입력이 검증없이 렌더링되면서 임의의 JavaScript가 실행됨 결론사용자의 입력 값을 검증 및 이스케이프 처리를 통해 XSS 공격을 방어해야 함 (필터링 기법)..

DreamHack의 System Hacking 로드맵을 기반으로 정리한 글입니다.Exploit Tech: 1. orw Shellcode해킹 분야에서 상대 시스템을 공격하는 것을 익스플로잇(Exploit)이라고 부른다. 익스플로잇은 '부당하게 이용하다'라는 뜻이 있는데, 상대 시스템에 침투하여 시스템을 악용하는 해킹과 맥락이 닿는다. 셸코드(Shellcode)는 시스템 해킹의 익스플로잇과 관련된 공격 기법 중 하나로, 익스플로잇을 위해 제작된 어셈블리 코드 조각을 일컫는다. 일반적으로 셸을 획득하기 위한 목적으로 셸코드를 사용해서, 특별히 '셸'이 접두사로 붙었다. 셸을 획득하는 것은 시스템 해킹의 관점에서 매우 중요하다. 만약 해커가 rip를 자신이 작성한 셸코드로 옮길 수 있으면 해커는 원하는 어셈블리..