반응형 분류 전체보기67 정보보안기사 필기 및 실기 합격 후기 및 공부법에 대하여.. [합격 후기] 정보보안의 길을 가고자 하는 사람들이라면 항상 생각하는 자격증. 정보보안기사... 올해는 꼭 따야지. 하며 공부했더니...감격스럽게도 합격을 하게 됐다. 회사에서 합격결과 확인하고 완전 싱글벙글ㅋㅋㅋ 회사 다니면서 준비하느라 시간도 체력도 부족했는데, 그래도 3번만에 합격을 했다. 한번은 공부 안했다고 아예 안가고, 두번째도 덜했는데 그냥 시험문제 어떻게 나오나 보러 갔었음. 대망의 3수생이 되니까 "아 이젠 좀 수험료랑 책 비용좀 그만 내고싶네. 아까워."라는 생각이 들었고, 마침 일하고 있는 곳에 합격하신 분이 있으셔서 자극을 받았다. 아니 저분은 나보다 나이도 많은데 열심히 하셔서 합격했네. 난 뭐지. 이런 생각을 하다보니 그냥 회사끝나고 저녁먹고 바로 짐싸서 도서관으로 가게 된 것 .. 2023. 10. 9. XST(Cross Site Tracing)란? 정의 - HTTP TRACE Method를 이용한 공격 - HttpOnly 로 보호된 세션 쿠키값을 탈취 가능 *TRACE Method? - HTTP 요청값을 그대로 응답에 포함시켜 전달 HttpOnly - 해당 기능이 적용되어 있는 경우 Javascript에서 쿠키값에 접근하지 못함. - document.cookie 사용 불가 XST - HttpOnly 기능이 적용되어 있는 웹사이트는 쿠키값을 탈취할 수 없으나, TRACE메소드가 허용되어 있으면 해당 메소드 요청으로 쿠키값 전송 가능 이 공격이 성공하기 위해서 - HttpOnly 설정이 되어있지만, TRACE메소드는 제한하고 있지 않은 경우 사용 가능 대응방안 - TRACE Method 비활성화 2023. 9. 4. [crackus] 1번 문제풀이_GET방식&기본적인 PHP의 필터링 확인&보안공부 CrackUs라는 워게임 사이트를 새로 알게 되었으니, 한번 풀어보자. LEVEL 01을 클릭하면 아래와 같이 문제를 친절히 알려준다. 일단 GET방식으로 id와pw값을 가져오는 것을 알 수 있다. -> URL뒤에 URI로 파라미터와 값을 입력하면 된다. (프록시 도구 불필요) preg_match로 입력값에 대한 필터링을 주고 있다. -> 이 문제는 play _ . ( ) info대소문자 구분없이 필터링. 즉, 이것들을 빼고 입력하면 된다. result문이 정상적으로 들어갈 경우 레벨 클리어인 것을 유추 가능하다. 위와 같이 URL 뒤에 id와 pw를 GET방식으로 입력하여 전송해보니 레벨 클리어가 되었다. 구문은 아래와 같다. ?id='+or+'1'='1&pw='+or+'1'='1 메시지 창의 "확인".. 2022. 3. 13. [webhacking.kr] Challenge_old-18 문제풀이 이번엔 SQL Injection문제다. preg_match로 DB에 접근할 수 있는 SQL 쿼리문을 필터링하는 것으로 보인다. select, from, &, |같은 문자를 대소문자 모두 확인해 아래와 같이 해킹하지 말라는 메세지로 돌려준다. DB쿼리를 보면 chall18 테이블에서 id가 guest이고 no가 입력값인 경우의 id를 가져와서 결과값으로 반환한다. 1을 입력하면 hi guest라는 메시지가 나온다. //admin's no = 2 라는 주석을 참고하여 url 뒤에 no=0%09or%09no=2라고 입력해 앞의 guest와 no를 확인하는 값을 false값으로 만들고 뒤에 or no=2를 입력해서 admin으로 접근 할 수 있다. 2021. 11. 14. [webhacking.kr] Challenge_old-17 문제풀이 17번은 js-4번으로 분류되어있다. 소스를 보면 check 버튼을 누르면 sub() 함수를 호출하는 것을 알 수 있다. 입력값이 unlock값과 같은 경우 unlock값을 10으로 나눈 값을 ?뒤에 붙이는 것으로 보여진다. 콘솔으로 unlock값을 계산해서 입력창에 넣었다. 아래와 같이 문제풀이에 성공하게 된다. url의 파라미터 값을 보면 소스에서 봤던 unlock을 10으로 나눈 값이 들어가있는 것을 알 수 있다. 즉, 입력값에 7809297.1을 넣거나, url 뒤에 ?780929.71을 넣으면 문제를 풀 수 있다. 2021. 11. 14. [webhacking.kr] Challenge_old-26 문제풀이 26번 풀이 첫화면이다. view-source를 클릭하면 아래 화면으로 이동한다. id값을 admin으로 접근하면 문제를 풀 수 있는 것 같다. 페이지 소스를 봐도 특별한 건 없어보인다. url에 id값을 admin으로 넘겨본다. 아까의 preg_match 함수의 역할이 여기서 드러난다. id로 받아 온 값이 admin이면 다른화면으로 이동. 값에 decode가 있으니 admin을 urlincoding 두번 해서 값을 넘기면 아래와 같이 문제를 풀 수 있다. 2021. 11. 10. 이전 1 ··· 7 8 9 10 11 12 다음 반응형
