목록전체 글 (152)

김승현

[part 5]누구나 쉽게 따라 하며 배우는 웹 해킹 첫걸음 - 공격기술1 : 데이터베이스를 공격하는 sql injection

sql injection이란? 해석하게 되면 sql 삽입이며 sql에 악의적인 쿼리를 삽입하여 실행하게 만드는 것. 이때 악의적인 쿼리를 payload라고 함 데이터베이스를 대상으로 하는 공격이기 때문에 정보에 대한 조회, 수정, 삭제를 할 수 있기 때문에 크리티컬함 sqli가 가능한 이유: 아이디 또는 비밀번호를 ''(작은 따옴표)를 기준으로 범위를 지정해서 문자열을 받는 방식인데, 아이디에 admin' or 1=1 --과 같은 방식으로 싱글쿼터를 사용해서 강제적으로 범위를 닫아서 질의문의 내용을 바꿈 여기서 --는 sql에서 주석을 의미함. -> 따라서 1=1 뒷 부분은 모두 주석처리가 되기 때문에 admin이라는 아이디를 가진 계정에 접근하게 됨 우리가 접속해야 할 아이디가 admin인 것을 아는 ..
book_summary/web 2023. 4. 30. 14:15
[part 4]누구나 쉽게 따라 하며 배우는 웹 해킹 첫걸음 - 간단한 웹 서비스 구현하기

제작 과정에서 사용된 것들 웹서비스 : apache 해석기 : php paser dbms : MySQL 위의 셋 조합과 Linux를 사용하는 것을 LAPM이라는 이름으로 불렀고 옛날에 이 조합을 많이 사용 -> Nginx, django, mongodb 등 다양한 다른 것들도 많이 쓰는데 옛날에 쓰던 조합을 쓰는 이유 : 낮은 진입 장볍 and 오류가 발생해도 자료가 많아 해결하기 쉬움 apache2, php, mysql-server, libapache2-mod-php, php-mysql을 install함 apache 서버와 파서를 연결하기 위해 libapache2-mod-php를, 파서와 mysql을 위해 php-mysql install 더 찾아본 것 더보기 127.0.0.1에 접속해서 웹서버에 접속하는..
book_summary/web 2023. 4. 27. 16:26
[Dreamhack CTF Season 3 Round #2] ex-reg-ex

보호되어 있는 글입니다.
CTF/dreamhack 2023. 4. 24. 13:21
[Dreamhack CTF Season 3 Round #1] simple-web-request

보호되어 있는 글입니다.
CTF/dreamhack 2023. 4. 10. 15:21
[webhacking.kr] old-10 10번 문제 write up

들어가면 이렇게 생겼고 동그라미가 있고 오른쪽 끝엔 Goal이라는 목표지점이 있다. 마우스를 가져다대면 yOu라고 바뀌고 클릭하면 미세하게 오른쪽으로 이동한다. 이 코드가 이동하는 지점의 코드인데 posistion을 보면 나는 left: 1px이고 if(구문을 보면 this.style.left==1600px라는 게 있는 걸 봐선 1600px까지 이동해야 되는 것 같아 보인다. 그리고 onclick을 봐선 클릭하면 1만큼 이동하는 것 같다. 내 위치를 1590으로 고쳐주고 여기서 10만큼 이동하도록 10번만 클릭해보자. 짠 25점짜리 답게 되게 간단한 문제였다. 도착지점을 2px위치로 해도 되지 않을까라고 생각이 들어서 해봤는데 이렇게 왼쪽 아래에 no hack이라고 뜨며 막았다. 내가 푼 방법이 정석적인..
Web/webhacking.kr 2023. 3. 31. 18:15
이전 Prev 1 ··· 8 9 10 11 12 13 14 ··· 31 Next 다음