본문 바로가기
728x90

☠️ 보안5

[암호화] 양방향(공개키/비대칭키, 비공개키/대칭키), 단방향 0. 양방향/단방향 알고리즘 - 양방향: 암호화된 암호문을 복호화 할 수 있는 알고리즘. 암호화/복호화 가능. (대칭키, 비대칭키) - 단방향: 암호화는 수행하지만 복호화가 불가능한 알고리즘. 암호화/복호화 불가 (Hash 방식) 1. 양방향 알고리즘 대칭키, 비대칭키 암호화, 복호화시 모두 동일한 키를 사용하고, 비대칭키(공개키)방식은 암호화 복호화에 서로 다른 키를 사용한다. a. 대칭키(비공개키) 방식: 대칭키(비공개키) 방식 : 암복호화에 서로 동일한 키가 사용되는 암호화 방식. 그래서 키를 비공개한다. 하지만 결정적으로 '키 배송'에 관한 문제가 있다. 어떻게든 송신 측에서는 수신 측에 암호 키를 전달해야만 하고, 이 키가 배송과정에서 탈취되면 아무리 뛰어난 암호화 알고리즘을 사용했더라도 평문이.. 2022. 11. 14.
Session Hijacking 이란? 👾 Session Hijacking 이란? HTTP Session Hijacking 이라는 공격 기법은 웹 브라우징시 세션 관리를 위해 사용되는 Session ID를 스니핑이나 무작위 추측 공격(brute-force guessing)을 통해서 도용하는 기법이다. 간단히 말하자면, 공격자가 인증 작업 등이 완료되어 정상통신을 하고있는 다른 사용자의 세션을 가로채서 별도의 인증 작업 없이 가로챈 세션으로 통신을 계속하는 행위이다. 먼저 이러한 공격에 대한 배경지식으로 HTTP 프로토콜의 특성 및 Session ID을 알아보자. 0. HTTP 프로토콜의 특성 HTTP는 기본적으로 비연결유지(stateless) 프로토콜이다. 따라서 웹 사이트 로그인 후 다른 페이지 방문시마다 매번 로그인해야 하는 불편함이 있는.. 2022. 4. 18.
웹 보안🏴‍☠️ Cross-Site Scripting(XSS) 세션 탈취 웹 보안 Cross-Site Scripting(XSS) 세션 탈취 예제 📍 순서 1. get.php 생성. 2. 값 테스트 3. 글쓰기 쓰기 전에 4. 서버 재시작 5. 세션 값 확인 * 80040e10 에러 이유 & 해결방법: 이렇게 하면 에러가 난다. 이유는 얘가 ' 작은 따옴표 인식을 못하기 때문.. 그래서 전부 " 쌍따옴표로 바꿔주면 해결된다. 혹은 그냥 글을 쓰고, 수정하기로 다시 쓸 때 작은 따옴표를 넣어줘도 되더라. 2022. 4. 18.
SSL 취약점을 이용한 공격, Heart bleeds(하트블리드) 실습과 웹 세션 하이재킹 (2) SSL 취약점을 이용한 공격, Heart bleeds(하트블리드) 실습과 웹 세션 하이재킹 [ 이전 글 ]과 이어지는 웹 세션 하이재킹 Heart bleed 실습 입니다. 1. 제로보드 설치 (간단한 웹사이트 생성) 우선 제로보드를 설치하기 위해, php php-devel php-pear php-mysql php-mbstring php-gd php-imap php-odbc php-xmlrpc php-xml을 설치한다. yum install php php-devel php-pear php-mysql php-mbstring php-gd php-imap php-odbc php-xmlrpc php-xml Loaded plugins: fastestmirror, refresh-packagekit, security .. 2021. 7. 22.
SSL 취약점을 이용한 공격, Heart bleeds(하트블리드) 실습 (1) SSL 취약점을 이용한 공격, Heart bleeds(하트블리드) 실습 📍Open SSL 이란? Open SSL을 다루기 전에, 먼저 SSL을 먼저알아보자. SSL이란 Secure Socket Layer의 약자로, 월드 와이드 웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고받기 위한 전송(4)계층 업계 표준 보안 프로토콜을 의미한다. TLS(과거 명칭, Transprot Layer Security) HTTP 통신을 암호화하는데 사용된다. 이 Open SSL은 웹브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리라고 보면 된다. 한 마디로 Openssl을 웹서버(Apache,Nginx)에서 자유롭게 사용할 수 있다. Openssl은 2014년, Heart bleed 버그로 이슈화가 되었다. 📍H.. 2021. 7. 20.
728x90

티스토리툴바