웹취약점
-
[Fiddler] Fiddler Extension(plugin) 만들기# 웹해킹 공부중 2021. 4. 28. 16:19
기존에 Fiddler를 사용하면서 CustomRules 만을 사용해왔는데 매번 수정해서 쓰기 불편한점도 있고 하나 베이직하게 만들어두면 유용할 것 같아 Fiddler Extension을 만들어보게 되었다. 만드는게 그렇게 어렵지는 않으나 C#을 전혀 모르고 관련 자료들이 산재돼있어서 처음 할 때 삽질을 좀 많이 했다. (ㅠㅠ) 이 포스트에서는 간단하게 Fiddler Extension을 만드는 방법에 대해 알아보고 예시로 특정 도메인에 해당하는 URL에 대해서 전달되는 파라미터들을 가져와서 출력해주는 프로그램을 만들어 볼 것이다. ※ C#을 전혀 모르는 사람이 작성한 글로 부정확한 내용이 있을 수 있습니다...! 0. 환경 구성 - Visual Studio 2005 이상(혹은 .Net Framework 컴..
-
[WEBHACKING] SSRF(Server-side Request Forgery) 에 대해서# 웹해킹 공부중 2020. 12. 11. 02:27
1. SSRF란? CSRF가 클라이언트 측에서 위조된 요청을 보내는 거라면 SSRF는 서버 측에서 위조된 요청을 보내도록 하는 취약점이다. SSRF 취약점을 이용해서 공격자는 웹앱과 같은 서버측 프로그램이 임의의 주소로 HTTP 요청을 보내게 된다. 그러면 일반적으로 사용자들이 접근할 수 없었던 서버 내부 자원에 접근해서 API key와 같은 중요 데이터가 유출되거나 내부 네트워크 스캔 그리고 경우에 따라 임의 코드 실행이나 임의 파일 쓰기 등의 허가받지 않은 행위가 가능할 수 있다. 예를 들어 아래 이미지처럼 사용자가 입력한 이미지 URL을 통해 이미지를 가져와 출력하는 서비스를 하는 게시판이 있다고 가정한다. $url = $_POST['url']; $ext = pathinfo($url, PATHINF..