전체 글241 [13주차] 금취분평 기준 취약점 항목 ----------------------------------------------------- *점검기준 https://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=1&mode=view&p_No=259&b_No=259&d_No=106&ST=&SV= 기술안내서 가이드 취약점 찾.. 2022. 1. 14. SQL injection 실습(보고서 작성) 홈페이지 제작 완성이 미뤄짐에 따라 늦어졌던 보고서 작성 실습 사진 삽입하는 중 :) 실습 대상은 개인 가상머신 사이트입니다! ----------------------------------------------------------------------------------------- 2-3 공격 유형에 따른 injection – 데이터 추출 (1) UNion SQL Injection ① 취약점 찾기 □ 홈페이지 파라미터 값에 특수문자나 임의의 SQL을 삽입함으로써 모든 진입점에 대해 반환을 수동으로 감지할 수 있다. - 피라미터: 사용자 입력 폼 또는 URL의 피라미터, 클릭 시 웹 프록시를 이용한 피라미터 - 특수문자: ‘ 혹은 “ - 임의의 SQL 문: SELECT, UNION, HAVING 등 .. 2022. 1. 13. [LOS] 3번 goblin https://los.rubiya.kr/ 레벨 3번 goblin풀이 제시문제 ※ url에 ?를 쓰면 query를 날릴 수 있다. 즉 url에 ? no=1 을 넣어보면, '' 안에 값이 입력된다. 위와 같이 변하는 것을 볼 수있다. 그럼 쿼리를 삽입-조작해 ? no=1 or id='admin'를 삽입해본다. 그럼 이렇게 경고문이 뜨는 걸 볼수있는데 이는 코드 내에 preg_match 이 있기때문이다. preg_match는 검색대상 문자열을 찾는 함수이다. 이는 싱글쿼터('), 더블쿼터(") 등을 우회하고 있다. '(%27)도 필터링이 되어있기때문에 16진수로 치환해 값을 전달해본다. https://www.online-toolz.com/langs/ko/tool-ko-text-hex-convertor.html.. 2022. 1. 8. [LOS] 2번 cobolt https://los.rubiya.kr/ 레벨 2 gremlin 풀이 제시 문제 ※ url에 ?를 쓰면 query를 날릴 수 있다. 즉 url에 ? id=admin&pw=admin을 넣어보면, '' 안에 값이 입력된다. 위와 같이 변하는 것을 볼 수있다. 그럼 쿼리를 삽입-조작해 ? id=admin or '1 = 1을 넣으면 아래와 같이 Clear 메세지가 뜬다. (%20는 공백을 의미함.) 1번문제와 동일하게 1=1이 and와 우선순위가 되어 우측이 거짓이 되고, 좌측의 결합하면 참이 된다. 문제에서 $result['id'] == 'admin'이 있어서 id=admin이 주어져서 풀수있는 풀이였다. 혹은 양쪽 %20 공백이 포함된 주석문을 추가해서 pw부분을 생략해 풀 수있다. 2022. 1. 8. [홈페이지 제작] 홈페이지 제작 과제 결과물 2022.02.25 - [웹 개발 언어/PHP] - 다운로드 링크 공유 메인 index.php member.php idcheck.php member_ok.php 회원 login_ok.php main.php 좋아요/조회수/파일/글수정 삭제 기능 read,php hit_up.php hit_del.php read_mod.php like.php like_del.php file_ok.php delete.php reply.php reply_del.php 비밀글읽기 ck_read.php read.php 마이페이지/정보수정 ck_pass.php mypage.php mypage_mod.php mypage_mod_ok.php 문의게시판 inquiry_board.php main.php 비회원 inquiry_board.php.. 2022. 1. 8. [홈페이지 제작] PHP 오류메세지 표시/숨김 홈페이지 제작을 할 때 편의를 위해 오류메세지를 보이게끔 설정해놔서 제작이 끝난후 보이지 않게 설정을 했다. 설정방법은 etc/php/7.4/apache2/php.ini 파일의 display_error 부분을 On/Off 해주는 것이다, 실행 후 아파치 재시작이 필요하다. 터미널을 키고 sudo service apache2 restart로 재시작을 해주면 정상 설정이 된 것을 확인할 수있다. 2022. 1. 8. [홈페이지 제작] 마이페이지, 문의게시판 만들기 [TIP] 에러날시 cat /var/log/apache2/error.log로 오류로그 찾아서 수정하기 -- main에서 마이페이지를 누르면 비밀번호 확인란을 입력해야들어갈수있다. 정보열람과 수정 가능 로그인된 자유게시판에서 문의게시판을 누르면 회원전용 문의게시판으로 입장가능하고, 로그인이 안된 메인 페이지에서 문의게시판으로 바로가면 개인정보가 잠긴 비회원 문의게시판으로 들어가게된다. 비회원이 문의게시판에서 자유게시판 입장시 로그인이 필요하다. 문의글 부분 살짝 수정 중! 전화번호 칸 넣어야지! 2022. 1. 6. [홈페이지 제작] 파일다운로드, 게시글 리스트 페이징, 게시글 검색기능 파일 다운로드 php문 작성 전 해야할 것들 (1) pnp.ini에 파일 업로드 허용을 해준다. find /-name php.ini /etc/php/7.4/apache2/php (2) 파일 업로드할 upload 폴더를 생성한 후 chmod로 권한을 열어준다. 게시글 페이징 게시글 검색 기능 형광색 배경은 거슬려서 중간에 빼버렸다. [홈페이지 제작] 홈페이지 제작 참고 사이트 https://blog.naver.com/bgpoilkj/221375627800 [PHP]게시판 만들기 #12 검색 기능 ※ 2020/05/13 코드 수정 예제파일 http://developtest.org/file/board/181011_board.zip 안녕하세요. S ... blog.naver.com myungjjju.tistor.. 2021. 12. 28. [11주차] 인증/인가 취약점 수업 필기 일상 취약점 수다) *방역패스 - 이미지만 보고 입장함 - 다른사람의 정보로 방역패스 보여줘도 내건지 확인하는 2차절차가 없음 *배민오더 - 서버인척하고 데이터를 넣어주면 치킨을 공짜로 먹을수있을까? 수업) *인증/인가 -> 인증과 인가가 불충분해서 발생하는 취약점 인증: Authentictication - 그 사람이 맞는지 확인하는 작업 Ex) 로그인 인증, 본인 인증, 휴대전화 인증, 카드 인증 인가: Authorization - 권한을 부여하는 것 ex) 글 수정 허용, 삭제 등등... --------------------------------------------------------------------- --인증 취약점 -> 다른사람인 척 할 수 있다. -> 인증 우회 = 인증 프로세스 우회 .. 2021. 12. 23. 이전 1 ··· 18 19 20 21 22 23 24 ··· 27 다음
