web
WACON 2023 Final WEB(funnyjs, Cha's eval) Writeup
[WEB] funnyjs do you like js? Challange analyze ∧,,,∧ ( ̳• · • ̳) / づづ plz xss 챌린지 파일의 index.html을 확인해보면 위와 같은 코드가 존재하는 것을 확인할 수 있습니다. 문제에서 "plz xss"와 script 태그에서 특정 조건을 통과해 XSS를 발생시켜야하는 문제라고 추측이 가능합니다. 먼저 paload 변수에 값을 할당하는 부분을 확인해보겠습니다. decodeURIComponent(document.location.hash.slice(1)).replaceAll(//g,''); 현재 URL의 fragment 값을 받아와서 "" 태그문자가 존재하면 이를 제거한 후 URL Decoding을 진행합니다, 그 후 payload라는 변수에 ..
[WebHacking Study] Log4Shell (Log4j) 취약점 분석
Log4Shell 취약점 소개 Log4Shell은 java의 log4j 모듈에서 발생한 RCE 취약점입니다, 해당 취약점은 2022년에 발생된 취약점입니다. 해당 취약점이 발견되었을때, 많은 국내/해외 기업들이 java 기반 서버를 구축하고 log4j 라이브러리로 에플리케이션 에러, 접속 로그 등을 기록하였기 때문에 굉장히 심각하고 유명했었던 취약점으로 분류되어있습니다. 굉장히 많은 기업들에게 동시다발적으로 발생하게된 취약점이고 라이브러리의 사용도가 굉장히 높았기 때문에, 해당 취약점의 크리티컬 분류 스코어는 가장 높은 단계인 10.0으로 분류되어있습니다. 이중에서 가장 유명한 log4j에서 발생한 RCE(Remote Code Excute(원격 코드 실행)) 1day 취약점에 대해 자세히 정리해보겠습니다..
[WEB] XSS 취약점 소개와 방어기법의 다양한 우회 방법 정리
XSS Injection (Cross Site Scripting Injection) 란? XSS Injection 정의 및 중요성 웹 해킹 취약점중에서 가장 먼저 배우는 취약점이자 가장 중요한 취약점 중 하나입니다. XSS 취약점은 교차 사이트 스크립팅 주입 취약점의 약자입니다. 즉, 사이트에 악의적인 스크립트 문법을 주입해 공격하고 쿠키를 탈취하는 취약점입니다. OWASP TOP10 취약점 순위에 따르면 Injection 관련 취약점이 가장 발생율이 높습니다. Injection 취약점이란 번역하면 주입형 취약점이라고도 불리는데, SQL, html, template 등에 특정 공격 코드를 주입하여 의도하지 않은 행위를 발생시키는 취약점입니다. 그 중 XSS 취약점은 html에 특정 script (java..
[WEB] 웹 해킹의 간단한 소개 및 앞으로 정리 계획
웹 해킹의 간단한 소개 및 TMI 웹 해킹의 간단한 설명 해킹은 크게 3가지 분야로 나눌 수 있습니다. 웹 해킹, 시스템 해킹, 리버스 엔지니어링으로 3가지 분야가 존재하는데, 그중 웹 해킹이란 웹에서 주로 발생하는 취약점을 다루고 연구하는 분야입니다. 웹 해킹은 해킹 입문자분들이 가장 접근하기 쉬운 분야중 하나입니다. 하지만 시스템 해킹, 리버스 엔지니어링과 같은 분야보다 쉽다는게 아닌 접근하기가 쉽다는 것에 주의를 하셔야합니다. 웹 해킹도 결국에는 취약점을 발견하고 연구하는 분야임으로 계속해서 취약점이 패치되는 시대에서 웹 해킹도 깊게 들어가면 들어갈수록 취약점을 찾기도 어려워지고 기존 취약점에 훨씬 응용된 취약점도 발생합니다. 그렇기 때문에 웹 해킹을 공부하시기전, 웹에 대한 기반지식을 충분히 쌓으..