κ°μ phpMyAdminμ κΈ°λ³Έμ μΌλ‘ GUI νκ²½μμ MySQL λλ MariaDBμ κ΄λ¦¬ν μ μλ PHPλ‘ μμ±λ λ¬΄λ£ μννΈμ¨μ΄λ‘, λ°μ΄ν°λ² μ΄μ€μ λν ν μ΄λΈ, μ΄, κΆν, 쿼리 μμ± λ±μ λν κΈ°λ₯μ μ¬μ©μ μΈν°νμ΄μ€ νκ²½μμ μ§μνκ³ μμ΅λλ€. λ°μ΄ν°λ² μ΄μ€ κ΄λ¦¬μ μ μ₯μμλ μμ½κ² μ¬μ©ν μ μλ νΈλ¦¬ν λꡬμ§λ§ κ·Έλ§νΌ κ΄λ¦¬κ° λ―Έν‘νλ©΄ 리μ€ν¬κ° λμμ§ μ μλ μλ μ μννΈμ¨μ΄λΌκ³ λ³Ό μ μμ΅λλ€. 컨μ€ν μ μ§ννλ©΄ κΈ°λ³Έμ μΌλ‘ robots.txtμ μ μΈλ λλ ν 리λ₯Ό νμΈνκ² λλλ° phpMyAdminμ μ¬μ©ν κ²½μ° μμ½κ² νμΈν μ μμ΅λλ€. μ€μν μ μ μ΄λ¬ν phpMyAdminμ λν μ κ·Ό μ μ± μ΄ μ΄λ»κ² μ΄λ£¨μ΄μ Έ μλμ λλ€. robots.txt κ²½λ‘μλ λλΆλΆμ κ²μ μμ§μ λ ΈμΆλκΈ΄ λ΄μ μ..
κ°μ 무μ λμ μνΈν κΈ°λ²μ 2000λ λ μ΄λ°μ κ°λ°ν "WEP"λΆν° νμ¬λ "WPA" λ°©μμ μνΈν μκ³ λ¦¬μ¦μ κΈ°λ³Έμ μΌλ‘ μ±ννμ¬ λ리 μ¬μ©λκ³ μμ΅λλ€. μ΄λ¬ν μνΈν κΈ°λ²μ μ μ©νλ μ΄μ λ 무μ λμ 곡기 μ€μΌλ‘ λ°μ΄ν°λ₯Ό μ μ‘νκΈ° λλ¬Έμ "κΈ°λ°μ±"μ μ μ§ν΄μΌ λ νμμ±μ΄ μμ΄ μλμ κ°μ 3κ°μ§μ λ³΄νΈ κΈ°λ²μ μ¬μ©ν΄μμ΅λλ€. 1. WEP(Wired Equivalent Privacy) #μ μ λλ± νλΌμ΄λ²μ 2. WPA(WiFi Protected Access) #μμ΄νμ΄ λ³΄νΈ μ μ 3. WPA2(WiFi Protected Access v2) #μμ΄νμ΄ λ³΄νΈ μ μ v2 "WEP" λ°©μμ κ²½μ° κ°λ°λ μ§ μΌλ§ λμ§ μμ μμ μ 보μ κ²°μ μ΄ λ°κ²¬λμ΄ νμ¬λ κ±°μ μ¬μ©λμ§ μλ λ°©μμ΄λΌ νλ¨ν΄λ λ©λλ€. ..
κ°μ subdomain takeoverμ΄λ λ§ κ·Έλλ‘ νμ λλ©μΈ νμ·¨λΌλ μλ―Έλ₯Ό κ°μ§κ³ μμΌλ©°, λ€μν μλΈλλ©μΈ μ€ κ΄λ¦¬λμ§ μμ μλΈλλ©μΈμ΄ μ‘΄μ¬νμ¬ κ³΅κ²©μκ° ν΄λΉ μλΈλλ©μΈμ μ¬λ±λ‘νμ¬ μ μ ν λλ©μΈμ μ€μ λμ΄ μλ κ³ μ μΏ ν€λ₯Ό νλνκ±°λ CORS, CSP κ°μ μ½ν μΈ λ³΄μμ μ± μ μ°ννκ±°λ Click Jackingμ μ¬μ΄ λλ λ± λ€μν μ μ± νμκ° κ°λ₯ν©λλ€. λν μ΄λ¬ν λλ©μΈμ 곡격μκ° μ μ ν¨μΌλ‘μ¨ ν μ¬μ©μλ€μ μ μΈνκΈ° μν΄ κ΄λ¦¬λμ§ μμλ ν©λ²μ μΈ λλ©μΈμ μ¬μ©νμ¬ νΌμ± νμ΄μ§λ‘ κΎΈλ©° μ μ©ν κ°λ₯μ±μ΄ μμΌλ―λ‘ νκΈν¨κ³Όλ ν¬λ€κ³ λ³Ό μ μμ΅λλ€. Subdomain μ΄λ Subdomain μ΄λ λ§ κ·Έλλ‘ κΈ°μ‘΄ λλ©μΈ(naver.com)μ νμμ μ‘΄μ¬νλ λλ©μΈμ μλ―Έν©λλ€. μλ₯Ό λ€μ΄ mo..
κ°μ HTTP Request Smugglingμ Watchfireμ μν΄ 2005λ μ μ²μ λ±μ₯νμ¬ μλ©΄ μμ μ¨μ΄ μλ€κ° 2019λ DEFCONκ³Ό BlackHatμμ ν΄λΉ μ·¨μ½μ μ μ μ΄μ©ν μλ‘μ΄ λ²‘ν°μ μνλλ₯Ό κ²μ¦νλ©΄μ μΈμ§λκ° λμμ§ μ·¨μ½μ μ λλ€. ν΄λΉ μ·¨μ½μ μ΄ μ΄μκ° λλ ν΄μΈ 2019λ μ PAYPAL κΈ°μ μμλ ν΄λΉ μ·¨μ½μ μ λ ΈμΆλκ²μ λ²κ·Έ λ°μ΄ν° νλ‘κ·Έλ¨μ ν΅ν΄ μ 보λ°μκ³ ν¬μκΈμΌλ‘ μ΄ 20.000 λ¬λ¬λ₯Ό μ§κΈν μ¬λ‘κ° μ‘΄μ¬ν©λλ€. Http Request Smugglingμ νλ‘ νΈ μ λ°±μλκ° Http μμ²μ κ²½κ³λ₯Ό λ€λ₯΄κ² ν΄μνκ³ RFC7230μ λ°λ₯΄μ§ μλ λ€μν λΌμ΄λΈλ¬λ¦¬ μ¬μ©μΌλ‘ μΈν΄ λ°μν©λλ€. μ¬κΈ°μ νλ‘ νΈμ μν μ LB(Load Balancer) λ RP(Reverse Prox..
κ°μ μλ‘ λ€λ₯Έ λ κ°μ μΉ μ΄ν리μΌμ΄μ μ΄ μ ν μμ΄ μνΈμμ©ν μ μλ νκ²½μ 보μμ μμ νμ§ μλ€ νλ¨λμ΄ λ±μ₯ν κ²μ΄ CORSμ SOPμ λλ€. μ°μ CORSμ μ£Όμ λͺ©μ μ APiνκ²½μμ μ£Όλ‘ μ¬μ©λλλ° λΈλΌμ°μ μλ² μλ‘ κ°μ μμ ν μμ² λ° μ μ‘μ νμ¬ λ€μν κ³³μμ κ°μ Έμ€λ 리μμ€κ° μ΅μν μμ ν λ°μ΄ν°λΌλ κ²μ 보μ₯λ°κΈ° μν¨μ λλ€. SOP(Same Origin Policy)λ corsμ λ€λ₯΄κ² λμΌν μΆμ²μμλ§ λ¦¬μμ€λ₯Ό 곡μ νλ€λ κ²μ μλ―Ένλλ° μ΄λ λ무 μ νμ μ΄λΌ μλΉμ€ μ°¨μμμ λ무 μ νμ μ΄λΌ corsκ° λ±μ₯ν κ²μ λλ€. νμ§λ§ μ¬μ©μλ€μ νΈμλ₯Ό μν΄ μ겨λ CORS μ μ± μ λν΄ λ무 μ μ°νκ² μ€μ μ νκ² λ κ²½μ° μΉ μ΄ν리μΌμ΄μ μ μ μμ μΈ νλ¦μ μ μ©νμ¬ ν μ¬μ©μμ κ°μΈμ 보λ₯Ό νμΉκ±°λ..
κ°μ SSRFλ Server Side Request Forgeryμ μ½μλ‘ μ μ¬ν μ΄λ¦μ κ°μ§ CSRF(Cross Site Request Forgery) μλ λ€λ₯΄κ² ν΄λΌμ΄μΈνΈ μΈ‘μ μμ²μ λ³μ‘°μν€λ κ²μ΄ μλ μλ² μΈ‘ μ체μ μμ²μ λ³μ‘°νμ¬ κ³΅κ²©μκ° μνλ ννμ μ μ± νμλ₯Ό μλ²μ λμ Έμ£Όλ©΄ μλ²κ° κ²μ¦ μμ΄ κ·Έλλ‘ λ°μ κ·Έμ λ°λ₯Έ νλ/μλ΅μ ν΄μ£Όλ 곡격μ λλ€. μΌλ°μ μΌλ‘ 맀κ°λ³μμ HTTP μμ²μ ν΅ν΄ μ μ ν μλ΅μ λ°μ μ μλ€λ©΄ μΆ©λΆν μλν΄λ³Ό λ§ν 곡격μΌλ‘ μ΅κ·Ό λ€μ΄ λ©ν° ν΄λΌμ°λ νκ²½μμ μ£Όλ‘ μ°μ΄λ λ©ν λ°μ΄ν° APIλ μΈνλΌ λ΄μ ꡬμ±, λ‘κ·Έ, μΈμ¦, λ€μν λ°μ΄ν°μ λ‘컬μμλ§ μ‘μΈμ€ ν μ μμ΅λλ€. λ§μ½ SSRF μ·¨μ½μ μ΄ μ‘΄μ¬ν κ²½μ° λ΄λΆμ μ¨κ²¨μ§ λ€νΈμν¬μ μλλΌλ 곡격μμ μΉμμ ..