[웹 해킹] File Inclusion 공격1. 개요File Inclusion은 웹 애플리케이션에서 사용자가 제공한 입력 값을 통해 서버에 있는 파일을 액세스 하거나 실행하도록 만드는 공격 기법이다. 일반적으로 대상 애프리케이션에 구현된 `동적 파일 인클루전` 메커니즘을 악용한다. 이 취약점은 적절한 검증 없이 사용자가 제공한 입력을 사용하기 때문에 발생한다. 이 공격은 `Local File Inclusion(LFI)`와 `Remote File Inclusion(RFI)`의 두가지 주요 유형으로 나뉜다. `LFI`는 서버 내(로컬) 파일에 접근하는 공격이고, `RFI`는 외부에 있는 파일을 원격으로 include하는 공격이다.2021 OWASP TOP 10 중에서는 `Broken Access Contro..
[웹 해킹] Command Injection1. 개요Command Injection은 애플리케이션이 시스템 명령어를 실행하기 위해 사용자의 입력을 포함할 때, 공격자가 입력을 조작하여 추가 명령어를 삽입하거나 실행하도록 만드는 방식📌 공격 조건 :1. 애플리케이션이 운영체제 명령어를 호출해야 하는 경우2. 입력값에 대한 검증이 충분하지 않은 경우 Command Injection 공격은 2021 OWASP Top 10에서 `Injection`에 해당된다. 2. 공격 예시📕 예시1$output";}?>위와 같이 `ping` 명령어에 사용자 입력($ip)을 포함하여서 실행되는데, 공격자가 입력값을 조작하여 추가 명령어를 수행할 수 있음. Unix/Linux일 때 예시 : `8.8.8.8; cat /etc/..
[웹 해킹] Brute Force (브루트포스 공격, 무차별 대입 공격, 무작위 대입 공격)1. 개요인증 시스템을 뚫기 위해서 가능한 모든 조합의 비밀번호 또는 키를 시도하는 공격 기법. 이 공격은 시스템의 취약점을 찾기 위한 가장 기본적인 방법 중에 하나로 단순하지만 성공 가능성이 있음.대부분의 암호화 방식은 이론적으로 무차별 대입 공격에 대해서 안전하지 못하며, 충분한 시간이 존재하면 암호화된 정보를 해독이 가능함. 하지만, 대부분의 경우 비용이나 시간의 제약 때문에 공격을 방지함.✔ [참고] AES 암호 (현재 가장 강력하고 널리 사용되는 암호)가 안전한 이유AES-128: 키 길이 128비트 → 2^128 가지 키 조합.AES-192: 키 길이 192비트 → 2^192 가지 키 조합.AES-256..
