web웹
-
Apache 가상 호스트web웹 2023. 2. 16. 10:18
하나의 서버에 여러가지 도메인을 등록하여 사용하는 방법 1) Named based virtual host 가장 보편적인 방법으로 같은 IP 주소가 여러 개의 호스트 명을 가지는 방식 **호스트 네임과 도메인 네임의 차이** host name은 각 네트워크 디바이스(컴퓨터)에 할당되는 이름이고, domain name은 네트워크에 부여되는 이름이다. 외부에서 네트워크에 접속하기 위해서는 domain name이 필요하다. 예시) www.mail.naver.com 의 mail은 호스트 네임에 해당하고, naver.com은 도메인에 해당함 2) IP based virtual host 각 웹 사이트마다 다른 IP를 할당받거나 다른 port 번호를 부여받는 방식 관리가 쉽고 안정적임
-
macOS 환경에서 MySQL, PHP 사용하기(Mac 내장 Apache, Homebrew Apache)web웹 2023. 2. 16. 09:19
오늘은 MacOS가 12버전으로 업데이트 되면서 맥에서 사라진 php를 다운로드 받고, MySQL DB와의 연동을 해볼 것이다. 1) MacOS 순정 Apache 이용(+php설치) PHP 설치 우선 나는 구형맥북(인텔 맥북 프로)를 사용하고 있고 다음 명령어를 입력했을 때 brew install php Error: Cannot install on Intel processor in ARM default prefix (/opt/homebrew)! 80, 가상 호스트 설정을 위해 필요함 LoadModule rewrite_module lib/httpd/modules/mod_rewrite.so 주석 해제 LoadModule php_module /usr/local/opt/php@8.2/lib/httpd/modul..
-
[Dreamhack] web-ssrfweb웹/Dreamhack wargame 2022. 8. 16. 08:19
@app.route("/img_viewer", methods=["GET", "POST"]) def img_viewer(): if request.method == "GET": return render_template("img_viewer.html") elif request.method == "POST": url = request.form.get("url", "") # url 입력 urlp = urlparse(url) if url[0] == "/": url = "http://localhost:8000" + url # url에 host와 port를 명시하지 않을 경우 localhost:8000으로 설정 elif ("localhost" in urlp.netloc) or ("127.0.0.1" in urlp.ne..
-
[Bee box] change password, change secretweb웹/bwapp 실습 2022. 8. 11. 17:55
#change_password 새 비밀번호를 입력했더니 아무 검증없이 비밀번호가 변경됨 URL에 새 비밀번호가 그대로 노출됨 html injection 페이지로 이동 후 화면 속 이미지 태그를 입력 [대응방안] 보안 난이도 상에서와 같이 password_curr의 값을 SHA-1 해시 함수를 씌워 DB에 저장된 패스워드와 값을 비교한 후 비밀번호가 변경될 수 있도록 페이지를 작성한다. #change_secret csrf_3.php 페이지의 소스코드를 열어보면 다음과 같은 부분이 있다. hidden 타입으로 선언된 login 변수에 현재 아이디 값이 할당되어 있다. 버프스위트로 잡아서 밑에 나오는 3개의 변수를 확인한다. xss_stored_1.php 페이지로 이동 후 화면 속 이미지 태그를 입력한다. S..
-
[Bee box] SSRF(서버측 변조 요청) 실습web웹/bwapp 실습 2022. 8. 4. 17:10
SSRF는 공격자가 요청을 변조하여 취약한 서버가 내부 망에 악의적인 요청을 보내도록 하는 것 이 공격에는 총 3가지 유형 있다 Port scan : 서버가 요청을 수신하여 다른 웹이나 포트에 직접 접근하는 경우 Access : XML인젝션을 수행하여 페이지의 내용을 대체하는 권한을 획득, 서버 내부에 있는 시스템 자원에 접근하는 경우 Crash : XXE를 이용한 삼성 스마트 TV Dos 공격 첫 번째로 RFI를 이용한 내부 네트워크 호스트 포트 스캔을 실습해보겠다. 위 소스코드를 보면, 소켓을 열기 위해서는 ip주소가 필요하다 나의 경우에는 계속 로컬호스트 환경에서 접속해왔기 때문에 localhost 또는 127.0.0.1로 ip주소를 설정하여 경로를 완성하였다. 두 번째 유형인 XXE를 이용한 내부..