5주차 과제 마지막 문제이다! https://webhacking.kr/challenge/bonus-3/ Challenge 23 Your mission is to inject webhacking.kr 스크립트를 실행시키는 공격을 하라고 해서 일단 input 란에 저렇게 넣어봤다. no hack이 뜨는 것을 보니 단순 스크립트 코드에 대한 보안이 깔려 있는 것 같다. 소스코드를 분석해보니 submit 했을 때 index.php가 실행되고, 이 php문 안의 input name = "code"이다. index.php를 봐야 get에 뭘 넣어야할지 알 것같은데 index.php 코드가 주어져있지 않다. 어떻게 해야하지...? form태그를 이렇게 바꿔서 제출을 누르니 alert(1)이 실행되긴 하였다. ..
https://xss-game.appspot.com/ XSS game level 1 화면에 JS alert 창을 띄우는 문제이다. 검색창에 script 태그를 넣은 alert문을 넣어주면 해결. level2 alert 다음 코드를 삽입하여 alert를 눌렀을 때 경고창이 뜨도록 하였다. 반면에 script태그를 바로 삽입하였을 때는 글이 사라지고 alert창이 생기지 않았는데, 이 사이트에서는 script태그를 이용한 공격을 필터링 하고 있을 가능성이 있다. (정확한 이유를 다음 코드에서 찾아보자!) Chatter from across the Web. class MainPage(webapp.RequestHandler): def render_template(self, filename, conte..
이번 5주차 웹 해킹 스터디에서는 xss 관련 강의를 듣고 문제를 푸는 과제가 나왔다. 1. https://youtu.be/DoN7bkdQBXU xss공격은 특정한 자바스크립트를 취약점을 이용해 웹 사이트 내의 정보를 빼오는 작업이다. 이 강의에서는 xss보안처리가 되어있지 않은 사이트에서 게시글에 스크립트 문장을 넣어 실행하는 stored xss 공격의 예시들을 보여주고 있다. 2. https://dreamhack.io/learn/7#8 로그인 | Dreamhack 로그인 자동 로그인 비밀번호 찾기 로그인 드림핵이 처음이신가요? 회원가입 dreamhack.io Cross Site Scripting 에 대한 드림핵(dreamhack)의 강의. ● XSS(Cross Site Scripting)이란?..
1. Webhacking.kr old 6 https://webhacking.kr/challenge/web-06/?view_source=1 php online compiler을 사용하여 워 게임 문제를 풀어보자. 먼저 코드는 이러하다. base64_encode 는 2진 데이터를 아스키코드 형태로 변경시켜준다. 예제 ) $str = "base64_encode"; echo 'base64_encode($str) : '.base64_encode($str).' '; 출력 : base64_encode($str) : YmFzZTY0X2VuY29kZQ== 코드에서 나오는 str_replace 함수는 문자열을 다른 문자열로 교체할 때 쓰이는 함수이다. str_replace ( 치환될 문자열, 치환할 문자열, 문..
웹 해킹 2주차 과제를 풀어보자! 1 ) HTML - source code https://www.root-me.org/en/Challenges/Web-Server/HTML-source-code Challenges/Web - Server : HTML - Source code [Root Me : Hacking and Information Security learning platform] 3 Solutions Display solutions Submit a solution Challenge Results Pseudo Challenge Lang date Flowdi HTML - Code source 6 November 2020 at 05:24 Kim Hung HO HTML - Source code 6 Nov..
여름방학을 맞아 웹해킹 멘토링을 시작하였다. 첫 과제로 가상머신에 우분투를 설치는 과제를 수행하였고, 두번째 과제로 HTML과 PHP, DB를 배우고 Write-up을 하는 활동을 수행하게 되었다. HTML은 저번 웹해킹 스터디 과제로 write-up을 한 적이 있으므로 PHP와 DB에 대해서 포스팅해보겠다. https://opentutorials.org/course/3130 WEB2 - PHP - 생활코딩 수업소개 이 수업은 https://opentutorials.org 를 만들어가면서 PHP에 대한 지식과 경험을 동시에 채워드리기 위한 목적으로 만들어진 수업입니다. 수업대상 이 수업은 1억개의 웹페이지를 생산하면서 발생할 수 있는 생산성의 한계를 극복하고 싶은 분들을 위해서 만들어졌습니다. 1억개..
https://opentutorials.org/course/2039 HTML 수업 - 생활코딩 수업의 목적 본 수업은 HTML에 대한 심화된 내용을 다룹니다. HTML의 기본문법과 HTML의 주요한 태그들에 대한 수업을 담고 있습니다. 선행학습 본 수업을 효과적으로 수행하기 위해서는 웹애플리케이션에 대한 전반적인 이해가 필요합니다. 이를 위해서 준비된 수업은 아래 링크를 통해서 접근하실 수 있습니다. 웹애플리케이션 만들기 위의 수업에서는 웹을 구성하고 있는 여러기술을 얕고 넓게 배웁니다. 각각의 기술들이 어떻게 관계하고 있는지를 알려드리는 것이 위 수업의 목적입니다. 진도 우리 수업에서는 기본적이고, 중요한 것을 앞에 ... opentutorials.org 강의 내용 요약 기술 소개 HTML (Hyper..
https://dreamhack.io/learn/1/6#7 로그인 | DreamHack 로그인 자동 로그인 비밀번호 찾기 로그인 드림핵이 처음이신가요? 회원가입 dreamhack.io 2강 [ Web Browser (웹 브라우저) 웹에 접속하기 위해 사용하는 소프트웨어이다. · Web Resource 웹 상에 존재하는 모든 콘텐츠이다. (HTML, CSS, JS, PDF, PNG 등) · URI (URL) URI는 Uniform Resource Identifier의 약자로 리소스를 식별하기 위한 식별자이다. · HTTP (HyperText Transfer Protocol) 인터넷 서비스에서는 서비스 대상 간 통신 규약(Protocol)을 지정하여 통신한다. HTTP는 웹을 이용하기 위한 통신 규약이다. ..
