[HackCTF Web] Button 문제 풀이 버튼을 눌렀을 때, 아무런 변화가 없다. 아래 버튼을 누르면 flag 값이 나오게 해야 한다면 어떻게 해야 하는지 생각해보다가 value값을 flag라는 글자로 바꿔보았다. 그리고 flag 라고 바뀐 버튼을 눌렀을 때, 플래그 값이 출력된다. Security/WebHacking 2019.11.20
[HackCTF Web] Hidden 문제 풀이 버튼을 모두 눌렀을 때 url을 보면 http://ctf.j0n9hyun.xyz:2023/?id=1 http://ctf.j0n9hyun.xyz:2023/?id=2 이런식으로 id값이 버튼마다 부여되는 것을 볼 수 있었다. 그래서 /?id=5 라고 입력을 해주었을 때, Security/WebHacking 2019.11.19
[HackCTF Web] / 문제 숨겨진 플래그 찾기 풀이 처음에 로봇이 어떤 의미가 있는지 살펴보기 위해 페이지 소스코드를 보면, http://www.irobotnews.com/news/photo/201709/11794_27156_1618.png 이미지를 불러오는 url만 존재한다. 구글링을 통해 알아낸 결과, 로봇 사진을 보고 robots.txt라는 것을 생각해내야 한다. robots.txt가 무엇인가? : robots.txt 파일은 검색엔진 크롤러에서 사이트에 요청할 수 있거나 요청할 수 없는 페이지 또는 파일을 크롤러에 지시하는 파일이다. 사이트의 루트에 위치하며 사이트에서 검색 엔진 크롤러가 액세스하는 것을 방지하기 위한 규약이다. robots.txt는 주로 사이트의 크롤러 트래픽을 관리하는 데 사용된다. 먼저 robots.. Security/WebHacking 2019.11.19
[Websec.fr] Babysteps Level01 문제 Select the user by ID you wish to view This application is used to view the username by the given user ID, it will return the corresponding username from the database. Enter the user ID: 풀이 flag 값을 찾으면 되는 문제이다. 1, 2, 3까지 넣었을 때 id와 username을 출력한다. 1-> levelone 2-> jvoisin 3-> ExampleUser order by 3부터는 error -> 컬럼 수는 총 2개인 것 같다. 이 데이터베이스의 테이블이나 칼럼 정보를 어떻게 알아내야 하는지부터 생각해야겠다. php 코드에 있는 SQLITE에 대.. Security/WebHacking 2019.11.12
OWASP Top10 에 대한 공격기법과 방어기법 "OWASP(The Open Web Application Security Project)" 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표했다. Top Ten Overview (2017) 1번째 Injection (인젝션) 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다. [공격종류] Error based SQL Injection 논리적 에러를 이용한 SQL Injection Uni.. Security/WebHacking 2019.11.10
