웹해킹문제3 webhacking.kr - old 01번 문제풀이 들어가기 전 적는 글 아침부터 Criminal IP로 API에 대한 공부를 했다. 나름 공부는 했지만 포스팅할정도의 실력까지는 미치지 못해서 취약점 분석을 하며 느꼈던 해킹 코드에 대한 숙련도 부족을 채우기 위해 가장 기초적인 webhacking.kr old부터 다 해결하고 다음은 리뉴얼된 webhacking.kr 그다음 툴을 사용하는 PortSwigger 다음은 문제 자체가 조금 수준 높은 dreamhack.io에서 공부를 진행하려고 한다. 그런다음 API와 Python 심화 공부를 할듯 https://webhacking.kr/chall.php >> Old - 01 : 가장 기초적인 쿠키 변조 Level 표시와 Sourece 표기 하이퍼링크가 있습니다. 2023. 2. 9. [XSS] XSS(Cross Site Scripting)공격 실습 Reflected XSS 를 사용하여 태그 삽입 (PortSwigger) XSS(Cross Site Scripts)의 기본적인 내용에 대해서는 DreamHack 의 예제1번에서 설명해놓았다 아래 링크를 타고 봐보도록 하자 hobbylists.tistory.com/entry/XSSCross-Site-Scripting%EA%B3%B5%EA%B2%A9-%EC%8B%A4%EC%8A%B5-Dreamhack-%EC%8B%A4%EC%8A%B5%EC%98%88%EC%A0%9C 위에서 접속할 사이트는 Reflected XSS를 통해 공격해야 한다고 적혀있다 그리고 마지막 줄에 "alert" 기능을 사용해야 한다고 적혀있는데 alert는 Javascript 언어의 함수로 Message를 발생시킨다 alert() ()내의 Message를 발생시키는 Javascript 의 기능 먼저 사이트를 들어.. 2020. 8. 26. [SQL Injection] - 쿼리에서 반환되는 열의 개수 구하기 // PortSwigger 예제 SQL Injection 악의적으로 짜인 SQL문을 삽입해 실행시켜 비정상적인 행동을 유발하는 공격기법 SQL Injection 공격을 수행하기 위해 요구되는 조건 에러메시지가 웹에서 발생되지 않아야함 : 에러메시지를 통해 공격에 필요한 데이터베이스의 테이블과 칼럼명을 받아올수 있기때문 injection이 발생하지 못하도록 시큐어 코딩이 되어있지 않을경우 SQL injection 기법은 OWASP(Open Web App Security Project) 에 기재된 해킹기법들중 1순위에 해당할만큼 강력한 취약점입니다. 년도별로 1위에서 3위권에 왔다갔다 하지만 Injection 기법 자체가 범용성이 크고 무궁무진한 취약점이기에 위험성만큼은 계속 상위권일듯 합니다. 그럼 BurpSuite 제작사인 PortSw.. 2020. 7. 31. 이전 1 다음