about Security/웹보안과 해킹30 [hackCTF] 01. Hidden 웹해킹 두번째 문제 그렇다고 합니다. 그래서 버튼을 눌러봤더니 url이 이렇게 바뀌면서 Nop이라고 뜹니다ㅏ. 번호에 따라 id=의 숫자가 바뀌니까 5도 한번 넣어볼까요? !??!?!!?!?!?!? 이게 답이었습니다. ㅋㅋㅋㅋㅋㅋㅋㅋ 플래그 다 떼고 적으면 오답이라고 나옵니다. HackCTF{ ... 부터 복사해서 넣으세요..! 궁금점 : 왜 /id=5가 아니고 /?id=5로 ?가 붙을까요? 2022. 4. 5. [hackCTF] 00. / hackCTF 웹문제 처음 들어가면 안녕?! 로봇이 인사한다. 로봇이니까 robots.txt 열어보기 라고 쓰지만 사실 예전에 풀어봤으니까 바로 로봇s.txt 생각하지 처음 보는 문제라면 ? 뭐 어쩌라고 라고 생각했을듯 그래서 문제 페이지 뒤에 /robots.txt 를 붙여서 해당 페이지에 대해 들어가보면 /robot_flag/ 를 disallow해놨다고 뜬다. 여기에 플래그가 있을 거라고 알려주고 있으므로 다시 문제 페이지 URL뒤에 /robot_flag/를 붙여서 플래그를 획득하자. 이때 마지막 /까지 모두 잘 붙여야 한다. # robots.txt 크롤러가 사이트의 일부에 접근하지 못하도록 규칙을 정해놓는 파일 # 웹 크롤러 (web crawler) 자동화된 방법으로 웹을 탐색하는 컴퓨터 프로그램 [.. 2022. 3. 26. [ webhacking.kr ] 26번 url코드표 보고 admin을 바꿔보자 a %61 d %64 m %6d i %6c n %6e %61%64%6d%69%6e https://www.convertstring.com/ko/EncodeDecode/UrlEncode 한번더 URL 인코딩하면 %2561%2564%256d%2569%256e 2022. 2. 22. [웹] CSRF (Cross Site Request Forgery) # CSRF (Cross Site Request Forgery) [ 보고 공부한 사이트 ] https://dreamhack.io/?obj=11 2022. 1. 28. [웹] XSS XSS : 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다. 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다. XSS는 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어졌다. 하지만 이를 우회하는 다양한 기술이 소개되며 여전히 XSS 공격이 지속되고 있다. 클라이언트는 HTTP형식으로 웹 서버에 리소스를 요청하고 서버로부터 받은 응답, 즉 HTML, CSS, JS등의 웹 리소스를 시각화하여 이용자에게 보여준다. 이때 HTML, CSS, JS와 같은 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나.. 2022. 1. 27. [웹] 1. Cookie & Session http 프로토콜 : 웹 서버와 통신할 때 웹 서버에 명령을 내리기 위해 GET, POST와 같은 메소드와 자원의 위치를 가리키는 URL등이 포함되어 있으며 이외에도 헤더를 통해서 웹 서버에 요청을 보내고, 웹 서버는 헤더를 읽고 클라이언트에게 결과값을 반환. 이때 헤더에는 클라이언트의 정보와 요청의 내용을 구체화하는 등의 데이터가 포함되며, 이는 클라이언트의 인증 정보 또한 포함될 수 있다. 쿠키와 세션은 클라이언트의 인증 정보를 포함하고 있다. 쿠키 - 클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용 - 클라이언트의 IP 주소와 User-Agent는 매변 변경될 수 있는 고유하지 않은 정보이다. 2022. 1. 25. [웹] 0. 웹 기초 # 인코딩 ex) 아스키(Ascii), 유니코드(Unicode) ... + Ascii : 7비트 데이터에 대한 인코딩 표준 : 알파벳과 특수 문자 표현 가능 + Unicode : 모든 언어의 문자를 하나의 표준에 담음. : 한 문자는 최대 32개의 비트로 표현 : 한글, 한자, 히라가나, 알파벳 그리고 이모지(emoji)까지. 모두 포함하고 있다. # 통신 프로토콜 + 프로토콜 : 규격화된 상호작용에 적용되는 약속 - 컴퓨터와 통신할 때는 엄격한 프로토콜(약속)이 필요하다. 컴퓨터가 해석의 융통성을 발휘하게 하는 것이 매우 어렵고 통신 오류가 발생할 가능성이 높아지기 때문이다. 따라서 문법(syntax)를 두고 이 문법을 벗어나는 메세지는 잘못 전송된 것으로 취급한다. - 프로토콜 ex) : TCP/IP.. 2022. 1. 14. 기타 인젝션 # iframe 인젝션 * iframe - HTML 페이지 안에서 또 다른 HTML 페이지를 보여주는 태그 - 어떤 제한 없이 다른 페이지를 해당 웹페이지 안에 불러와 삽입할 수 있다. # OS Command 인젝션 - 시스템 명령어를 쿼리문에 주입하여 취약한 변수를 통해 서버 운영체제에 접근하는 공격 # PHP Code 인젝션 # SSI 인젝션 2021. 12. 24. HTML 인젝션 (비박스 환경을 활용한 웹 모의해킹 완벽 실습) # 인젝션 : 공격자가 악의적으로 주입한 데이터를 웹 애플리케이션에서 데이터베이스의 정상적인 쿼리 일부로 인식하고 실행할 때 발생하는 취약점 - 데이터를 입력받거나 데이터베이스 정보를 요청하는 곳에서 공격이 가능하다. # HTML - Hyper Text Markup Language, HTML - 웹 페이지를 만드는 데 사용하는 언어 - 제목, 단락, 목록 등과 같은 본문을 위한 구조적 의미를 나타내는 것뿐만 아니라 링크, 인용과 그 밖의 항목으로 구조적 문서를 만들 수 있는 방법을 제공 # HTML 인젝션 - 반사(GET) - 취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격 - HTML 태그로 악의적인 사이트에 연결하거나 악성 파일을 다운로드 하도록 유도 # HTML 인젝션 - 반사(POST) .. 2021. 12. 23. 이전 1 2 3 4 다음
