꾸욱's blog

SSRF (server side request forgery)1. 정의 : 공격자가 취약한 웹 애플리케이션을 조작하여, 서버가 의도하지 않은 내부 리소스나 외부 서버로 요청을 보내게 만드는 보안 취약점2. 원리 : 서버가 사용자 입력을 검증하지 않고 외부 URL을 요청할 때 발생.>>> ex) 입력 검증하지 않으므 localhost인 척 위장해서 URL 요청하면 서버가 정상이라고 판단함.3.1. 실습1 (Basic SSRF against the local server)stockApi뿐 아니라 API 입력할 수 있는 것에서는 다 되는 것 같다는 내 예상....일종의 프록시 역할이 됨.암튼, 이걸로 http://localhost/admin 접속해서 해당 사이트에서 정보를 확인할 수 있다.예를 들어 아래와 같..

Authentication1. authentication vs authorization : Authentication is the process of verifying that a user is who they claim to be. Authorization involves verifying whether a user is allowed to do something.2.1. 실습 : 무작위 대입 (Username enumeration via different responses)문제에서 ID 리스트랑 PW 리스트를 제공하며 이에 맞는 계정을 찾는 것이었다. 나는.. 파이썬 코드짜서 101 X 100개 조합을 돌렸지... 너무 오래 걸렸지...하하 (첨부파일로 python 코드 첨부)그래서 솔루션 확인. b..