모의해킹157 인코딩을 통한 XSS필터 회피 기술 HTML 출력에 들어가는 Content-Type의 charset을 변조함으로써, XSS 공격에 사용되는 문자열이 XSS차단필터에 의해서 걸리지 않도록 하는 검사회피기술이다. 예를 들어서, 원래의 XSS 공격 문자열이 라고 하자. 그런데, XSS차단필터가 와 같은 문자열을 차단하기 때문에, 이 공격은 성공할 수 없다. 그런데, 만약 서버의 응답 HTML의 Content-Type 선언에서 charset을 변경시킬 수 있다면, 이 XSS차단필터를 통과할 수 있다. 예를 들어, 아래와 같은 문자열은 XSS차단필터에서 보면, 전혀 의미가 없는 문자열일 뿐이다. %A2%BE%BCscript%BEalert(%A2XSS%A2)%BC/script%BE 그렇지만, 위의 문자열을 US-ASCII charset으로 디코딩을 .. 2009. 10. 28. Sqlmap, SQL 인젝션 공격 + 운영체제 침투 점검용 프로그램 $ python sqlmap.py -h sqlmap/0.7 by Bernardo Damele A. G. Usage: sqlmap.py [options] Options: --version show program's version number and exit -h, --help show this help message and exit -v VERBOSE Verbosity level: 0-5 (default 1) Target: At least one of these options has to be specified to set the source to get target urls from. -u URL, --url=URL Target url -l LIST Parse targets from Burp or Web.. 2009. 10. 26. SQL injection: Not only AND 1=1 - Presentation Transcript SQL injection: Not only AND 1=1 Bernardo Damele A. G. Penetration Tester Portcullis Computer Security Ltd bernardo.damele@gmail.com +44 7788962949 Copyright © Bernardo Damele Assumpcao Guimaraes Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org Introduction From the OWASP Testing .. 2009. 10. 23. PHP + MySQL5 환경 SQL Injection 공격 도구 악성코드 방어 능력이 없는 경우 절대 다운로드 금지!!! (악성코드 삽입 가능성 90%, 가상 터미널에서 작업 필수!!!) 종종 환경이 문제지만, 가끔은 온라인 도구에 직면 주어진 모든 환경을 극복할 수 없어요. 위해 일부러 쓴이 도구를 촉진하기 위하여 예를 들어, 몇 가지, 아 한 필터링됩니다. 왜냐하면 그들은 직접적으로 진술 주사를 수정할 수있는 필터를 손으로 무시할 수있습니다 기본적으로, 당신은 너무 오래 사출 환경의 모든 PHP의 + mysql5 만날 수있는 도구가 될 수있습니다. 그리고 데이터 group_concat 액세스를 사용하는 새로운 방식을 추가, 크게 제출한 진술과 데이터에 대한 액세스 시간에 주사의 양을 줄일 수있습니다. 인터페이스 표시줄에 이해하고 볼 수 있어야합니다. 중동의 건설 .. 2009. 10. 23. Web Application Penetration Testing This section provides information for penetration testers. Some of this content is in other sections of this website already (The library). I just created this page as a quick reference. Please, if you feel I that I've missed a important link or document. The best way to find information is to use our search engine on the right. Articles: Penetration Testing for Web Applications (Part One) Penet.. 2009. 10. 1. 이전 1 ··· 27 28 29 30 31 32 다음
