전체 글 15

web-ssrf

ssrf를 공부했으니, 관련 문제로 실습을 해보자. 문제 풀기전에, 문제에서 사용된 모듈들에 대해서 먼저 알아봐야겠다 urlparse- 파이썬의 urllib.parse 모듈 안에 있는 함수- URL 문자열을 쪼개서 scheme, hostname, port, path, query 같은 구성요소로 나눠주는 함수- URL을 구성요소별로 나눠서 검사하기 쉽게 만들어주는 함수예를들어서,from urllib.parse import urlparseurl = "https://example.com:8080/posts/3?sort=latest#comment"parsed = urlparse(url)print(parsed)이런식으로 쓰면보통 결과는ParseResult( scheme='https', netloc='..

워게임/web2 2026.06.29

Server-Side Request Forgery (SSRF)

SSRF : Server-Side Request Forgery-> 서버 측 요청 위조-> 공격자가 직접 요청하는 것이 아니라, 서버가 대신 요청하게 만드는 취약점서버가 정확히 뭔지 , API에 대한 정리, 마이크로서비스에 대한 것을 먼저 정리 해봤음 서버에 대해..- 요청을 받고 응답을 돌려주는 컴퓨터, 프로그램보통 웹 서비스를 사용할 때 사용자는 브라우저에 요청을 보냄사용자 브라우저 -> 서버 -> 응답예를 들어서,사용자가 로그인 페이지에 접속하면브라우저는 서버에 요청을 보내고, 서버는 로그인 페이지 html을 응답해줌GET / login-> 이런 요청이 오면 서버가 로그인 페이지 달라는 요청이군 하고, 해당 기능을 실행해서 결과과를 응답으로 돌려줌 보통 웹개발 공부 같은 거 할 때 Flask를 본인..

web2 2026.06.28

docker 사용하기 (run, compose)

맥북으로는 gui리눅스를 쓰기가 굉장히 불편하다,, 속도가 너무 느려서 안쓰는게.,그리고 또 보안 실무에서는 리눅스를 CLI로 많이 쓴다고 해서,, CLI에 익숙해질 겸, 도커에도 익숙해질 겸도커에서 리눅스를 사용해야겠다ㅏㅏ Docker- 컨테이너 기반 가상화 플랫폼으로, 응용 프로그램과 그 종속성을 격리된 환경인 컨테이너로 패키징하여 실행하는 기술컨테이너?- 가상화 기술을 이용하여 애플리케이션과 개발 환경을 격리된 공간에서 실행하는 단위 -> 내 로컬pc안에 격리된 리눅스 실행 공간을 만드는 도구맥북 macOS └─ Docker └─ Ubuntu 컨테이너 └─ Flask / Python / Vim / 웹서버 실행요런식으로 사용되는 것- 이미지 : 컨테이너를 만들기 위한 설계도- 컨..

web2 2026.06.17

csrf-1

CSRF에 대해 제대로 이해했으면, 쉽게 풀 수 있는 기본문제다 먼저, 문제 코드부터 살펴보면,#!/usr/bin/python3from flask import Flask, request, render_templatefrom selenium import webdriverimport urllibimport osfrom selenium.webdriver.chrome.service import Servicefrom selenium.webdriver.support.ui import WebDriverWaitfrom selenium.webdriver.support import expected_conditions as ECfrom selenium.webdriver.common.by import Byapp = Flask..

워게임/web2 2026.06.04

CSRF(Cross-Site Request Forgery)

CSRF(Cross-Site Request Forgery)사이트 간 요청 위조- 사용자가 어떤 사이트에 로그인된 상태를 이용해서, 공격자가 사용자의 브라우저로 하여금 원치 않는 요청을 보내게 만드는 공격 csrf의 흐름을 간단하게 살펴보면1. maru 사이트에 로그인함2. 브라우저에 maru사이트 쿠키 저장됨 (ex: session=maru123)3. 이 상태에서 사용자가 공격자 사이트에 접속함4. 공격자 사이트 HTML/JS가 maru사이트로 요청을 발생시킴예를들면,,- - location.href = "https://maru.com/chage?email=ina~- 자동 submit form5. 브라우저는 요청 목적지가 maru.com인 걸 보고 maru.com의 쿠키를 자동 첨부6. maru사이트 서..

web2 2026.06.04

네트워크 보안 [계층구조1]

- 누가 누구한테 어떻게 통신하는가?- 그 과정에서 어디를 공격할 수 있는가?- 그걸 막기 위해 어떤 장비나 프로토콜을 쓰는가? 네트워크-> 컴퓨터기리 데이터를 주고받기 위한 연결 구조 네트워크 보안-> 네트워크 통신 과정에서 정보가 안전하게 오가도록 보호하는 것- 기밀성 : 허가받은 사람만 볼 수 있어야 한다- 무결성 : 중간에 내용이 변조되면 안 된다- 가용성 : 필요할 때 서비스를 사용할 수 있어야 한다=> 네트워크 공격도 대부분 이 셋 중 하나를 깨뜨리는 방식이다. ex)- 스니핑 -> 기밀성 침해- 패킷 변조 -> 무결성 침해- DDoS 공격 -> 가용성 침해 OSI 7계층- 7계층 : 응용 계층 Application- 6계층 : 표현 계층 Presentation- 5계층 : 세션 계층 Sess..

DOM-based XSS

이번에는 DOM-based XSS에 대해 공부해봐야지앞에 웹은 어떻게 동작?? 글 마지막 부분에서 이런 페이지가 있고만약, 정상적인 입력이 있다고 한다면사용자가 아래의 주소로 접속했다면http://maru.com/dom#hello브라우저에서const keyword = location.hash.substring(1); 이부분에 따라#hello를 가져오고 substring(1)에 따라 #도 제거하고document.getElementById("result").innerHTML = keyword;이부분에 따라 id=result인 부분에 hello가 추가되고hello이렇게 DOM이 바뀌면서 화면에는 hello가 출력된다이 예시에서는 그냥 문자열 hello를 출력했기에, 큰문제가 없다근데 만약, 여기에 공격적인..

web2 2026.06.02

웹은 어떻게 동작하나요(HTML,JS,CSS,브라우저의 관계)

웹페이지는 보통 HTML, CSS, JavaScript가 동작하면서 만들어진다- HTML : 웹페이지 구조를 만듦- CSS : 웹페이지 디자인- JavaScript : 웹페이지의 동작 [DOM과 관련된 내용,,,]- 브라우저 : 그 HTML을 DOM Tree로 변환- javascript : 위 DOM Tree를 읽거나 수정하면서 웹페이지의 동작을 만듦 그러니까,, 개발자가- HTML 작성- CSS 작성- JavaScript 작성- 서버에 올리기이렇게 하면사용자 브라우저가- 서버에서 HTML / CSS / JS 파일을 받아오기- HTML로 DOM Tree 만들기- CSS 적용- JavaScript 실행- JavaScript가 DOM을 조작요런 역할을 기반으로 웹이 동작하는데,, 예를들어보면,웹 페이지에 버..

web2 2026.05.31