웹해킹

보호되어 있는 글입니다.

보호되어 있는 글입니다.

워게임 스터디 2주차 문제3번 old-17 https://webhacking.kr/challenge/js-4/ Challenge 17 webhacking.kr 문제설명 문제 페이지에 들어가니, 입력칸이 하나 나온다. 아무 값이나 입력해보니, Wrong 이라고 나온다. 올바른 값을 입력하면 문제를 해결할 수 있을 것 같다. 문제풀이 개발자 도구로 해당 페이지의 코드를 확인해보니, 우리가 값을 넣어야 하는 칸인 pw의 값이 만약 unlock이면 문제가 풀리는 것으로 보인다. unlock의 뒤에 숫자 계산이 쭉 나오니 해당 값을 계산해보니 위의 값이 나왔다. 이를 pw 칸에 입력해주니 문제해결!

워게임 스터디 2주차 문제2번 old-01 https://webhacking.kr/challenge/web-01/ 문제설명 문제 페이지에 접속하면, level 1이라는 말과 함께 view-source 페이지가 보인다. 해당 문제는 소스코드를 보고 분석해서 풀어야 할 것 같다. 문제풀이 ---------------------

보호되어 있는 글입니다.

Command Injection 인젝션(Injection)은 악의적인 데이터를 프로그램에 입력하여 이를 시스템 명령어, 코드, 데이터베이스 쿼리 등으로 실행되게 하는 기법을 말한다. 시스템 함수: 다양합 웹 애플리케이션 제작용 언어는 시스템에 내장되어 있는 프로그램들을 호출할 수 있는 함수를 지원한다. ex) PHP-system, Node JS-child_process, python-os.system 시스템 함수를 사용하면 설치된 소프트웨어들을 쉽게 이용할 수 있지만, 함수의 인자를 셸의 명령어로 전달한다는 점에서 취약점으로 이어진다. Command Injection은 이런 함수를 잘못 사용하여 발생하는 취약점이다. Command Injection은 명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할..

XSS(Cross Site Scripting) 공격자가 입력한 악성스크립트가 사용자 측에서 응답하는 취약점이다. 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고, 임의의 기능을 수행하는 등의 공격을 진행할 수 있다. 이는 이용자가 삽입한 내용을 출력하는 기능에서 발생한다. 클라이언트는 HTTP 형식으로 웹 서버에 리소스를 요청하고, 서버로부터 받은 응답(HTML, CSS, JS 등의 웹 리소스)를 시각화하여 이용자에게 보여준다. 이런 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있다. 공격자가 자바스크립트를 통해 웹 페이지를 조작 가능한 이유? - 이용자를 식별하기 위한 세션 및 쿠키가 웹 브라우저에 저장되어 있기 떄문에! XSS 스크립트 예시 ..

보호되어 있는 글입니다.