감자의 스토리

xss를 이용하여 flag를 구하는 문제이다.일단 서버를 생성해 문제를 들어가준다. 페이지가 3개가 있는데 하나씩 들어가서 어떤 페이지인지 확인해준다. url 을 확인해보면 가 들어가있는데, 팝업창이 뜨지 않는 것을 보아 alert(1)이 작동하지 않는 것을 확인할 수 있다. 태그 방지가 되어있는 것 확인 memo?memo=hello 를 확인했을 때 memo 파라미터에 들어가는 값을 memo해주는 걸 확인할 수 있다. 다른 값을 입력해보면memo라고 값을 입력했을 때 memo라는 문구가 적히는 것을 확인 /vuln 페이지의 파라미터 값으로 무언가를 넣을 수 있도록 되어있다./vuln 페이지는 태그가 작동하지 않는 것을 아까 확인하였다. memo 페이지에 요청을 보낼 사용자의 쿠키값이 적혀지도록 만들어야..

XSS 기법을 이용해서 플래그를 획득하는 문제이다. 문제 밑에 "서버 생성하기" 버튼을 눌러 서버가 열리면 "웹해킹 문제" 링크로 들어간다. 들어가면 이런 화면을 만날 수 있는데, 하나하나 들어가면서 어떤 페이지들인지 확인해보자 들어가면 1이라는 숫자가 적힌 팝업창이 뜨게된다. Url을 확인해보면 /vuln?param= 라고 적힌 것을 확인할 수 있는데, 이것때문에 팝업창이 뜨게 됐다는 걸 알 수 있다. /vuln 페이지는 reflected xss에 취약한 페이지라는 것을 확인 memo 페이지를 들어가면 hello라고 적힌 메모를 확인할 수 있는데, Url 링크에 적힌 /memo?memo=hello 문구 떄문이라는 것을 확인했다. 다른 문구도 넣어보면memo 파라밑터 에 넣는 값에 따라서 메모가 작성되..

오늘은 Cookie와 Session에 대해 알아보고자 한다. 사실 웹을 사용하다보면 쿠키와 세션에 대해 많이 들어보고 또 "세션이 만료되었습니다"와 같은 문구를 확인했을 것이다. 그러면 여기서 말하는 Cookie와 Session이 무엇이냐 단순하게 이야기하면 Cookie : 클라이언트측(브라우저)에 저장되는 정보Session : 클라이언트와 서버의 연결이 유지되기 위한 방법으로써 서버측에 의해 일정 기간 동안 유지되는 사용자 정보라고 할 수 있는데, HTTP 특징 중 stateless, connectionlessHTTP는 Request 요청 -> Response 응답 을 받으면 이 연결은 바로 끝나버린다는 특징(비연결형)이 있는데 이것이 위에 말한 stateless, connectionless 특징이 되..

웹 취약점 진단을 해보기 위해 제작한 사이트를 대상으로 진행해보았다. BO(상) 버퍼오버플로우할당된 메모리보다 영역을 사용하고자 하여 비정상적인 작동을 유도하는 기법 파라미터 값으로 대량의 문자열을 넣어 확인페이지 정상 작동 양호 긴 길이의 제목 입력 양호 Url 파라미터 값으로 긴 길이의 숫자 작성 정상 작동양호 LI (상) LDAP 인젝션임의의 LDAP 쿼리를 입력하여 사용자가 원하는 쿼리가 실행되도록 하는 공격 기법 이메일 형식 입력으로 입해 이메일 형식 입력 후 쿼리 구문 삽입@ 이후 ) 포함 안된다는 문구 확인%00(NULL)을 이용하여 우회 시도%기호 또한 입력 불가능함을 확인양호

오늘은 mongoDB를 다운로드 받으려고 한다일단 mongoDB 설치파일 다운로드설치 파일 다운로드 링크: https://www.mongodb.com/try/download/enterprise Try MongoDB Enterprise AdvancedTry MongoDB Enterprise Advanced on premise non-relational database including the Enterprise Server, Ops Manager, and Enterprise Kubernetes Operator!www.mongodb.com설치파일 다운로드설치 파일 실행라이선스 체크 후 NextComplete 선택 Complete ( 디폴트 경로 설치)Custom (다른 위치 설치)Data Directory,..

git을 사용하다이런 에러를 만났다.일단 ssh key가 생성되어있는지 확인한다. 파일을 찾을 수 없다는 문구가 출력된다면 키값을 먼저 생성해주어야한다. ssh-keygen 명령어로 키를 생성해준다.입력후 키값이 출력된다면 키는 생성된 것이다. 생성 후 Github -> 프로필 -> Settings -> Access 부분에 SSH and GPG keys로 들어가준다.New SSH key 선택명령어로 확인했던 키값을 복사 후 붙여넣기로 입력해주고 Add SSH key를 선택해주면 완료된다.

설치파일 다운로드https://nodejs.org/en Node.js — Run JavaScript EverywhereNode.js® is a JavaScript runtime built on Chrome's V8 JavaScript engine.nodejs.org파일 설치 후 실행NextI accept the terms in the License Agreement 선택 후 Next -> 파일 경로 선택 -> Nextcustom Setup 나는 기본으로 했다 -> Next체크 후 NextInstall설치 완료Finish 버튼 클릭시 cmd(명령 프롬프트), powershell이 뜨면 아무키나 입력 후 tool 설치를 받으면 된다.

git 설치 파일을 다운로드하기 위해 다운로드 사이트에 들어간다https://git-scm.com/downloads Git - DownloadsDownloads macOS Windows Linux/Unix Older releases are available and the Git source repository is on GitHub. GUI Clients Git comes with built-in GUI tools (git-gui, gitk), but there are several third-party tools for users looking for a platform-specific expgit-scm.com자기에게 맞는 OS를 선택위와 같은 화면에서 standalone installer 부분에 맞..

"주요정보통신기반시설 기술적 취약점 진단 가이드"의 윈도우즈 서버 가이드를 통해 Windows 10 취약점 진단을 하고자한다.cmd를 이용해 진행하였다 분류 : 계정 관리코드 : W-01중요도 : 상점검항목 : Administrator 계정 이름 변경 또는 보안성 강화판단 기준양호 : Administrator Default 계정 이름을 변경하거나 강화된 비밀번호를 적용한 경우취약 : Administrator Default 계정 이름을 변경하지 않거나 단순 비밀번호를 적용한 경우net userAdministrator DefaultAccount Guest | WDAGUtilityAccount 진단: Administor 계정 존재진단 결과 : 취약 코드 : W-02중요도 : 상점검항목 : Guest 계정 ..

오늘은 Oracle VM VirtualBox에 Windows Server 2019를 설치하고자 한다.Virtualbox : https://www.virtualbox.org/wiki/Downloads Downloads – Oracle VM VirtualBoxDownload VirtualBox Here you will find links to VirtualBox binaries and its source code. VirtualBox binaries By downloading, you agree to the terms and conditions of the respective license. VirtualBox 7.0.20 platform packages The binaries are released und..