일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | |
7 | 8 | 9 | 10 | 11 | 12 | 13 |
14 | 15 | 16 | 17 | 18 | 19 | 20 |
21 | 22 | 23 | 24 | 25 | 26 | 27 |
28 | 29 | 30 | 31 |
- pm부트캠프
- 개발
- 간추린아침뉴스
- 화이트해커
- 로보어드바이저
- 해킹공부
- 해킹
- webdev
- 공격기법
- hacking
- 프로덕트매니저
- wargame
- ctf
- sql
- 앱해킹
- 코드스테이츠
- 웹개발
- 뉴스스크랩
- 워게임
- 웹해킹
- 리눅스
- XSS
- 우분투
- 핀트
- 실습
- webhacking
- 모의해킹
- 보안
- 퀵뉴스
- sqlinjection
- Today
- Total
목록웹해킹 (28)
무기는 끈기
그루트 시큐리티 디스코드 커뮤니티를 둘러보던 중 어떤 분께서 올려주셔서 팬테스터랩 이라는 사이트를 알게되었다. 웹해킹에 대해서 깊게 공부하고 싶다면 여기서 하라고 하시며 소개를 해주셨다. 대체 어떤 곳일까?! PentesterLab은 웹 펜트레이션 테스팅에 중점을 둔 온라인 학습 플랫폼이다. 이 사이트는 실제 시스템의 실제 취약점에 기반한 연습을 제공하여, 사용자가 웹 보안 취약점을 찾고 이용하는 방법을 직접 배울 수 있도록 한다고 한다. PentesterLab: Learn Web Penetration Testing: The Right Way pentesterlab.com PentesterLab의 주요 특징: 실제 취약점: 연습은 다양한 시스템에서 발견된 일반적인 취약점에 기반하며, 문제는 에뮬레이트되지..
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/cLlmkm/btsyTwyk8Wo/76s5OFMOQJ6hOHdceZK7o0/img.png)
가상머신은 깔려있어서 생략할 예정이다. 대략적으로 설명만 하자면 초반에 가상머신을 설치할 때 정말 과장없이 몇달간을 헤맸다. Mac Air M1을 사용하고 있어서 호환되는 가상머신 자체가 별로 없었고, 있어도 제대로 작동되지 않아 정말 수십개의 사이트와 외국 도큐먼트와 유튜브 영상을 뒤지다가 UTM이라는 가상머신으로 정착했다. UTM으로 칼리리눅스와 우분투리눅스를 돌리고 있다. 완벽하게 잘 돌아간다. 혹시나 M1이라 버추얼박스 등 가상머신 설치가 어렵다면 UTM 도큐먼트들을 잘 구글링해서 깔아보길 추천한다. 가상머신 외에도 공부하려면 깔아야 하는 프로그램이 2가지가 더 있다. 1. 터미널 프로그램(SSH) https://termius.com Termius - SSH platform for Mobile a..
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/bqIVV0/btsyzcgroBE/ZGRiMFZSHimoM1edzYxaA0/img.jpg)
SQL Injection은 웹 애플리케이션 보안에서 중요한 주제 중 하나입니다. 이 기사에서는 SQL Injection 공격에 대한 기본 개념, 어떻게 발생하며 어떻게 방어하는지에 대해 설명합니다. SQL Injection이란? SQL Injection은 공격자가 악의적인 SQL 쿼리를 웹 애플리케이션으로 주입하여 데이터베이스에 액세스하거나 조작하는 공격 기술입니다. 이러한 공격은 웹 애플리케이션이 사용자 입력을 안전하게 처리하지 않을 때 발생합니다. 작동 원리: SQL Injection은 사용자 입력을 적절하게 검증 또는 이스케이핑하지 않을 때 발생합니다. 공격자는 일반적으로 웹 양식 또는 URL 매개변수를 통해 악의적인 SQL 쿼리를 삽입합니다. 이 쿼리는 데이터베이스에 실행되어 사용자 데이터 유출,..
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/WuHK4/btstOhfAJLG/08H9huVWdtZRLTu4vSiri0/img.png)
https://dreamhack.io/wargame/challenges/6 cookie 쿠키로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. 플래그 형식은 DH{...} 입니다. Reference Introduction of Webhacking dreamhack.io 오늘은 드림핵 워게임의 비기너 문제를 하나 풀었다. 문제 접속하는 페이지는 아래 첨부된 이미지처럼 생겼다. 우측에 [문제 파일 받기] 버튼을 클릭하면 python 파일을 내려받을 수 있다. VSCode로 실행하여 코드를 살펴보았다. 문제 페이지 > 접속 정보 > [서버 생성하기] 를 클릭하여 문제를 열었다. 우상단의 Login 을 클릭하여 코드에서 살펴본대로 ID : g..
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/cctGlh/btsrrctzUPB/ZYKygfXKFuvpHfZYACHCa1/img.png)
워게임을 풀고 싶은데 뭐부터 풀어야 할지 모르겠어서 헤매다가 Solved 를 눌러 사람들이 많이 풀어낸 순서로 내림차순으로 정렬했다. old-01 다음으로 많은 사람들이 푼 문제는 old-15였고, 바로 클릭했다. 문제를 클릭하여 들어가면, Access_Denied 라는 팝업이 뜨고 확인을 누르면 바깥 화면으로 튕겨져 나간다. 이 경우엔 팝업이 뜨지 않게 하고, 접속을 하기 위해선 자바 스크립트를 꺼줘야 한다. 나는 크롬을 쓰고 있기 때문에 우측 상단에 햄버거 메뉴를 클릭한다. '설정 > 개인 정보 보호 및 보안 > 사이트 설정 > 자바 스크립트 설정'에 접속한다. 기본 동작에서 '사이트에서 자바스크립트를 사용하도록 허용하지 않음'을 선택하고 다시 old-15 문제로 접속한다. 빈 화면이 뜨고, 페이지 ..
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/mb7zp/btsmr2WeQRz/2vYTmY6lkNEVVginGHZ8Q1/img.png)
말로만 듣던 워게임을 드디어 직접 해보기로 했다. 예전엔 가입하는 것부터가 문제를 풀어야만 가입할 수 있는 형태였다고 들었는데,, 이 사이트가 아닌가? 맞는데 아마 방식이 변경된 것 같다. 웹해킹.kr 이 사이트도 그동안 운영자가 바뀌고 오래된 문제나, 잘못된 문제들이 수정되면서 이런저런 변화가 있었다고 들었다. 처음 접속해서 개인적으로 좀 좋아하는 해커분이 랭킹 10위에 올라있는 것을 보고는 의지를 불태웠다. 비록.. 오늘이 처음이었지만요.. 아무튼 old-01 첫 문제를 풀었다. 풀이 방식도 잘 모르는 상태라 가장 상단에 있는 15번을 클릭했더니 계속 경고 팝업으로 [ access denied ] 가 떠서 음 내가 무슨 접근 권한이 없나? 좀 기다려서 권한을 받고 게임을 시작할 수 있나? 생각했다.ㅋ..
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/WXHEv/btscAq8kODb/fZ9WkMjZvHoSyoETSGwmKK/img.png)
* 참고한 블로그 https://velog.io/@bik1111/%EB%A7%A5-M1-%EC%97%90-%EC%9A%B0%EB%B6%84%ED%88%AC-%EC%84%A4%EC%B9%98-%ED%9B%84-Apache-PHP-Mysql-APM-%EC%84%A4%EC%B9%98%ED%95%98%EA%B8%B0 맥 M1 에 우분투 설치 후 Apache , PHP , Mysql (APM) 설치하기 빠져 나올 땐 ctrl + z터미널 청소 : clear아파치 접속하기localhost(설치된 자기자신) 로 들어가서 확인./var/www.public.html -> 이곳이 document 루트index.html이 localhost 불렀을 때 최초로 뜨는 apache 화 velog.io 자동으로 Text Editor..
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/7RizF/btscKnay0fp/2E53z4QYq6TcBKioDQbmEk/img.png)
정말 이렇게 바쁠 수가 있나,, 싶은 직장인 모드로 지내며 간신히 수업만 라이브로 들으며 살았다. 회식하다가 오후 9시에 뛰쳐나와서 카페에 들어가 수업을 들은 적도 있다. 과제를 하거나 정리를 하기에도 툴 하나 설치하고, 서버 하나 구축하는 첫 시작조차 어려워 몇주를 헤맸다. 드디어 한 달이 지나갔고, 다음달이 되었다. 부끄럽게도.. 이제야 1주차 웹 개발 과제를 진행하는 중이다. 몇번이나 시도해봤지만 M1 맥북 에어에 가상머신 설치도, 제대로 작동하는 우분투 리눅스 설치도 어려워서 몇번을 깔았다, 지웠다 했다. 구글링도 유튜브도 수십번을 뒤적여보고, ChatGPT에게 물어봐가며 겨우겨우 Apache 웹 서버와 PHP 언어와 MySQL을 설치했다. 요즘은 회사에 한 시간 일찍 출근하여 파이썬 수업을 듣고..