분류 전체보기266 [웹 해킹] Dreamhack simple_sqli(Level 1) #264 1. 개요 워게임 명 : simple_sqli 난이도 : Level 1 관련 개념 : Python, DBMS, SQLite, SQL Injection 문제 : SQL Injection을 통한 flag값 획득 SQL Injection이란? 웹 페이지에서 로그인이나 게시글을 조회할 때 값을 입력할 경우 DB 서버에서는 해당 입력 값을 쿼리로 받아들여 명령을 수행합니다. 여기서 공격자가 악의적인 쿼리를 삽입하여 DB 정보들을 추출해내는 공격을 SQL Injection이라고 합니다. SQL Injection 강의에 포함된 워게임입니다. 2. 소스 코드 확인 1) HTML 1-1) index.html 가장 기본 페이지입니다. 1-2) login.html 로그인과 관련된 페이지입니다. 2) python 2.. 2023. 8. 23. [웹 해킹] Dreamhack web-ssrf(Level 2) #263 1. 개요 워게임 명 : ssrf-1 난이도 : Level 2 관련 개념 : Javascript, Python, Html, CSS, SSRF 문제 : SSRF 취약점을 이용하여 Flag 획득 SSRF란? 공격자가 악의적인 스크립트를 삽입하여 서버가 접근할 수 없는 내부 자원을 접근하도록 만드는 공격입니다. 해당 공격이 성공하면 공격자는 내부 정보를 탈취하거나 조작할 수 있습니다. SSRF 강의에 포함된 워게임입니다. 2. 소스 코드 확인 1) HTML 1-1) base.html 가장 기본 페이지이며, Home, About, Contact 메뉴가 있을 것으로 보입니다. 1-2) index.html 인덱스 페이지이며, 이미지 뷰어 기능에 대한 링크가 삽입되어 있습니다. 1-3) img_viewer... 2023. 8. 16. [웹 해킹] Dreamhack csrf-2(Level 1) #262 1. 개요 워게임 명 : csrf-2 난이도 : Level 1 관련 개념 : Javascript, CSRF, Cookie 문제 : CSRF 취약점을 이용하여 FLAG 값 획득 csrf-1과 유사한 워게임으로 약간의 난이도가 상승하였습니다. CSRF 강의에 포함된 워게임입니다. 2. 소스 코드 확인 xxs 워게임에서 사용하였던 코드와 유사합니다. 1) HTML 1-1) base.html 1-2) index.html 1-3) memo.html 1-4) flag.html 파라미터를 입력받는 페이지입니다. 1-5) login.html 새롭게 추가된 로그인 페이지입니다. ID, 패스워드를 입력받도록 되어 있습니다. 2) python 2-1) 초기 선언 부분 #!/usr/bin/python3 from fl.. 2023. 8. 10. [웹 해킹] Dreamhack csrf-1(Level 1) #261 1. 개요 워게임 명 : csrf-1 난이도 : Level 1 관련 개념 : Javascript, CSRF, Cookie 문제 : CSRF 취약점을 이용하여 FLAG 값 획득 * XSS와 CSRF의 차이점 - XSS : 공격자가 악의적인 스크립트를 웹 페이지에 삽입하는 공격(클라이언트에서 실행) - CSRF : 공격자가 피해자의 인증된 세션을 이용하여 웹 서버에 악의적인 요청을 보내는 공격(서버에서 실행) CSRF 강의에 포함된 워게임입니다. 2. 소스 코드 확인 xxs 워게임에서 사용하였던 코드와 유사합니다. 1) HTML 1-1) base.html 1-2) index.html XSS의 html 소스와 거의 같지만 notice flag라는 페이지가 하나 더 생겼습니다. 1-3) memo.htm.. 2023. 8. 8. 이전 1 2 3 4 5 6 7 ··· 67 다음
