https://xss-game.appspot.com/ XSS game level 1 화면에 JS alert 창을 띄우는 문제이다. 검색창에 script 태그를 넣은 alert문을 넣어주면 해결. level2 alert 다음 코드를 삽입하여 alert를 눌렀을 때 경고창이 뜨도록 하였다. 반면에 script태그를 바로 삽입하였을 때는 글이 사라지고 alert창이 생기지 않았는데, 이 사이트에서는 script태그를 이용한 공격을 필터링 하고 있을 가능성이 있다. (정확한 이유를 다음 코드에서 찾아보자!) Chatter from across the Web. class MainPage(webapp.RequestHandler): def render_template(self, filename, conte..
이번 5주차 웹 해킹 스터디에서는 xss 관련 강의를 듣고 문제를 푸는 과제가 나왔다. 1. https://youtu.be/DoN7bkdQBXU xss공격은 특정한 자바스크립트를 취약점을 이용해 웹 사이트 내의 정보를 빼오는 작업이다. 이 강의에서는 xss보안처리가 되어있지 않은 사이트에서 게시글에 스크립트 문장을 넣어 실행하는 stored xss 공격의 예시들을 보여주고 있다. 2. https://dreamhack.io/learn/7#8 로그인 | Dreamhack 로그인 자동 로그인 비밀번호 찾기 로그인 드림핵이 처음이신가요? 회원가입 dreamhack.io Cross Site Scripting 에 대한 드림핵(dreamhack)의 강의. ● XSS(Cross Site Scripting)이란?..
1. Webhacking.kr old 6 https://webhacking.kr/challenge/web-06/?view_source=1 php online compiler을 사용하여 워 게임 문제를 풀어보자. 먼저 코드는 이러하다. base64_encode 는 2진 데이터를 아스키코드 형태로 변경시켜준다. 예제 ) $str = "base64_encode"; echo 'base64_encode($str) : '.base64_encode($str).' '; 출력 : base64_encode($str) : YmFzZTY0X2VuY29kZQ== 코드에서 나오는 str_replace 함수는 문자열을 다른 문자열로 교체할 때 쓰이는 함수이다. str_replace ( 치환될 문자열, 치환할 문자열, 문..
저번 포스팅에서는 버퍼 오버플로우(BOF)에 대해 배웠다. 이번엔 The Lord of BOF라는 워게임을 통해 관리자의 권한을 획득하는 문제를 풀어보겠다. 문제 이름은 The Lord of BOF. gate에서 gremlin으로 통과하는 것이 목표이다. BOF는 버퍼 오버플로우, 프로그래머가 지정한 버퍼의 크기가 넘쳐서 취약점이 발생하는 것이다. gets()나 strcpy()는 경계검사가 없어 이런 취약점이 발생한다. 밑은 데이터 저장과 관련된 용어이다. - ESP(Extended Stak Pointer) : 현재 스택의 가장 위에 들어 있는 데이터를 가리키고 있는 포인터 - EBP(Extended Base Pointer) : 현재 스택에 가장 바닥을 가리키는 포인터 - payload : 전..
1. https://www.root-me.org/en/Challenges/Web-Client/Javascript-Source Challenges/Web - Client : Javascript - Source [Root Me : Hacking and Information Security learning platform] 5 Solutions Display solutions Submit a solution Challenge Results Pseudo Challenge Lang date Codex Javascript - Source 12 November 2020 at 10:26 relm Javascript - Source 12 November 2020 at 09:45 Dunateo Javascript - So..
2주차 포너블 스터디는 구글 미팅으로 진행되었다. C언어의 기본적인 문법을 설명해주시고 어셈블리어라는 언어를 소개해주셨다. 어셈블리어는 기계어와 1대1로 대응되는 프로그래밍 언어이며 intel 형식의 문법을 기준으로 배울 예정이다! 어셈블리어는 [명령어][인자1][인자2] 의 형식이다. 어셈블리어는 레지스터를 사용하는데, 레지스터는 cpu 내에 있는 저장공간이고 접근 속도가 메모리보다 훨씬 빠르다. mov : 데이터를 복사하는 명령어 ( 레지스터를 통해서 복사한다. ) ex) mov[인자1][인자2] --> 인자2를 인자1에 복사한다. call : 함수를 호출하는 명령어 ex) call[함수] jmp : 특정 주소로 이동하는 명령어. je, jne, jle 등의 종류가 있다. ex)..
웹 해킹 2주차 과제를 풀어보자! 1 ) HTML - source code https://www.root-me.org/en/Challenges/Web-Server/HTML-source-code Challenges/Web - Server : HTML - Source code [Root Me : Hacking and Information Security learning platform] 3 Solutions Display solutions Submit a solution Challenge Results Pseudo Challenge Lang date Flowdi HTML - Code source 6 November 2020 at 05:24 Kim Hung HO HTML - Source code 6 Nov..
2회차 수업 포스팅을 시작해보겠다! 그동안 소프트웨어와 관련한 강의만 듣고 포스팅해왔어서 하드 관련 강의를 듣고 적으려니까 확실히 소프트보다는 모르는 단어들도 많고 어렵다고 생각되긴 한다. 전체적인 맥락을 잡아서 요약하되 중요한 것, 모르는 것은 세부적으로 적어 이해 및 해결하도록 하겠다. 열심히 해보자 ^.^ - 아두이노 시작하기 V = IR 관련 내용과 디지털과 아날로그 신호의 구분에 대해 간단히 설명해주셨다. 출처 : 공방장의 3D Printer 아두이노 보드 내의 디지털 및 아날로그 신호를 처리하는 과정도 간략하게 설명해주심. - 실습 드디어 실습이다 ! 아두이노 개발환경을 실행하면 이렇게 생겼다. setup()함수는 처음 시작할 때 초기 설정을 정한다. loop()함수는 안의 코드를..
인하대학교 창업지원단에서 운영하는 프로그램이 시작되었다. 제어와 설계 두 트랙에서 기초교육을 진행하며 나는 제어 기초교육을 수강한다. 수강 내용은 이렇다. 아두이노 코딩 학습 키트도 받은 상태이고, 강의날짜와 포스팅 날짜는 차이가 있지만 ㅎ.ㅎ 설레는 마음으로 1회차 Write up을 진행해보겠다. (영상은 첨부가 안 되는 걸로 알고 있어 링크 첨부는 불가하네요) 출처 : 공방장의 3D Printer ( Youtube ) * 이더넷 실드 : 아두이노에 적층하여 사용하는 보드 ( 아두이노를 네트워크에 연결해준다.) * MP3 실드 : ‘VS1053B’ 칩셋을 사용하여 TF카드에 들어있는 음악파일을 재생 할 수 있게 만들어진 쉴드. VS1053은 MP3/AAC/WMA 등 다양한 형식의 음악파일 재생이 가..
