ilsancityboy

-리눅스 기본적인 명령어등을 배움 (이부분은 기본적인 부분이라 따로 정리하진 않음)- 제로데이 취약점이 발견되고 이에 대한 보안패치가 나오지 않은 시점까지 이뤄지는 공격 • 해당 취약점에 대한 대책이 없기때문에 해당 문제점을 패치하기까지 무방비로 노출 될 수 밖에 없음 제로데이 - 어떻게 막을까? 제로데이는 알려지지 않은 취약점으로 공격이 이루어져 이를 막을방법이 패치되기전까진 없다. 그나마 제로데이를 예방하기 위한 방법은 다층적인 보안절차를 만들어두어서  하나를 뚫어도 그이후로 계속해서 보안절차를 덮음으로써 최대한 두텁게 만드는 방법이다. 실제 기업들에선 제로데이 예방법으로 이를 사용한다. 그이후엔 최신 보안 프로그램을 계속해서 업데이트를 하고 방화벽을 설정해야한다. 원데이  패치가 되었으나 이를 기타..

2024 07 16 작성 - 7월 - k쉴드 주니어 신청 (결과발표 7월말)webhacking 20문제 풀이작성KISIA 7월 교육과정 신청 알바 신청 - 8월 -k쉴드 주니어 결과 확인후 합격시 후반기는 k쉴드 주니어랑 개인과제로 보내기학점은행제 신청 불합격시 내 페이지내에 취약점 찾고 관리webhacking 문제 전부끝내기드림핵 정리 시작 - 9월 - 학은제 병행 각종 자격증 공부 - 1순위 정보처리기사  이후에는 k쉴드 주니어 불합시 kisec 6개월 수료과정 참가예정  아으 눈앞이 깜깜하다 열심히 살자..

나만의 실습 사이트 만들기 (1편) (tistory.com) 나만의 실습 사이트 만들기 (1편)매번 sql injection 이나 XSS 등등 공격 기법을 사용해보기 위해 가능한 주어진 사이트들을 돌아다니다가 나도 나만의 실습 사이트를 하나 마련해놓으면 좋겠다 싶어서 기획하게 됐다.시작전 먼저ilsancityboy.tistory.com내가 만들게 된 실습 사이트를 대상으로 취약한 부분이 있는지 점검하고 있다면 이를 업데이트 하여 보안적 측면에서 안전하게 관리하는 실습을 해볼 것 이다.기준은 owasp top10을 기준으로 점검한다.1. injection먼저 인젝션 관련 취약점 점검을 해 볼 것이다.html 인젝션 , sql 인젝션 , os command 인젝션 등등 1-1. HTML 인젝션기본적으로 ht..

https://ilsancityboy.tistory.com/75 나만의 실습 사이트 만들기 (3편)https://ilsancityboy.tistory.com/74 나만의 실습 사이트 만들기 (2.5편)https://ilsancityboy.tistory.com/73#comment21545088 나만의 실습 사이트 만들기 (2편)지난글https://ilsancityboy.tistory.com/72 나만의 실습 사이트 만ilsancityboy.tistory.com지난 글에서는 게시판 기능과 글쓰기에 관련된 기능들을 구현했다.이번 글에서는 쿠키 세션을 활용해 게시판 글쓰기 기능의 작성자 부분을 회원정보의 아이디로 고정시켜 글 작성이 되게끔 만들어 볼 것이다.1. import  . . . session먼저 기존코..

https://ilsancityboy.tistory.com/74 나만의 실습 사이트 만들기 (2.5편)https://ilsancityboy.tistory.com/73#comment21545088 나만의 실습 사이트 만들기 (2편)지난글https://ilsancityboy.tistory.com/72 나만의 실습 사이트 만들기 (1편)매번 sql injection 이나 XSS 등등 공격 기법을 사용해보기ilsancityboy.tistory.com지난 글에서는 sql을 연동하고 배경을 영상으로 바꾸기까지 완성했다.이번 글에서는 커뮤니티처럼 실제 게시판, 글쓰기 , 글 목록과 목록 나누기 기능을 구현 할 것이다.  1. 데이터베이스 모델 정의제일 먼저 게시판에 글을 작성하면 그 글이 저장되거나 , 저장된 글을 ..

https://ilsancityboy.tistory.com/73#comment21545088 나만의 실습 사이트 만들기 (2편)지난글https://ilsancityboy.tistory.com/72 나만의 실습 사이트 만들기 (1편)매번 sql injection 이나 XSS 등등 공격 기법을 사용해보기 위해 가능한 주어진 사이트들을 돌아다니다가 나도 나만의 실습 사이ilsancityboy.tistory.com 지난 글에서는 회원가입 페이지와 데이터베이스 연동까지 끝마쳤다.다만 개인적인 욕심으로 배경의 이미지를 실제 롤 클라이언트처럼 영상으로 나오게 하고 싶어서 작성한다. 배경 이미지를 영상으로 기본적으로 css에는 영상을 넣을순 없다.따라서 html의 태그를 사용해야한다. 1.영상 다운로드먼저 유튜브에서..

지난글https://ilsancityboy.tistory.com/72 나만의 실습 사이트 만들기 (1편)매번 sql injection 이나 XSS 등등 공격 기법을 사용해보기 위해 가능한 주어진 사이트들을 돌아다니다가 나도 나만의 실습 사이트를 하나 마련해놓으면 좋겠다 싶어서 기획하게 됐다.시작전 먼저ilsancityboy.tistory.com 지난 번에 이어 이번글에서는 총 2가지를 할 것이다. 1.회원가입 페이지 만들기2.sql (데이터베이스 연동하기) 1. register html{% extends 'layout.html' %}{% block title %}회원 가입{% endblock %}{% block content %} 회원 가입 ..

매번 sql injection 이나 XSS 등등 공격 기법을 사용해보기 위해 가능한 주어진 사이트들을 돌아다니다가 나도 나만의 실습 사이트를 하나 마련해놓으면 좋겠다 싶어서 기획하게 됐다.시작전 먼저 간단하게 구성을 해보았다.1. 어떤 사이트를 만들 것 인가?ㄴ xss와 sql injection같은 여러가지 실습을 위해서는 로그인, 게시판 등등이 있으면 좋을 것이다.    따라서 커뮤니티 사이트를 하나 만들자.  2. 테마는?ㄴ 내가 좋아하는 "리그오브레전드" 테마로 가져와서 커뮤니티를 꾸며볼 것 3. 필요한 것?ㄴ 기본적으로  웹을 띄워주기 위한 편리한 Flask , SQL 인젝션까지 실습하기 위함이니까 간편한 Sqlite 3     Flask 를 사용하기 위해 python, 리그오브레전드 테마 css..

쿠키에는 인증 상태를 나타내는 민감한 정보가 보관되며, 브라우저 내부에 저장된다.그리고 브라우저가 웹 서비스에 접속할 때 브라우저는 자동으로 쿠키를 헤더에 포함시켜 요청을 보낸다.이 덕분에 우리는 사이트, SNS 와 같은 웹 서비스에 한 번 로그인 한 후 일정 기간은 로그인하지 않고도 바로 서비스를 사용할 수 있다. 하지만 악의적인 페이지를 접속했을 때, 페이지가 javascript를 이용해 이용자의 SNS 웹 서비스로 요청을 보내거나 악의적인 행동을 할 수 있다.해당 악의적인 자바스크립트는 사용자의 계정으로 로그인하지 않고도 쿠키를 통해 사용자 권한으로 악의적인 행동을 하게끔 로직을 보내게 되고 해당 사이트에선 응답을 받게 되며 수락하게 되는 것이다. 이와 같은 문제를 방지하기 위해 동일 출처 정책 ,..

먼저 2번문제를 들어가면 가장 먼저 보이는 문구이다.아무런 입력창이 없고 단순하게 저 상태로만 보인다. F12를 눌러 개발자 도구를 켜 웹 소스코드를 보면 주석처리 되어있는 부분들이 있다.시간이 보이고 admin.php 페이지를 들어가면 엉덩이를 차주겠다는 주석이 들어있다.admin.php를 들어가보자 들어가보니 password를 입력할수 있는 폼이 있는 페이지가 나온다.하지만 우린 패스워드를 모르는 상태.sql 인젝션 문제인가 싶어서 ' or 1=1 -- 을 입력해도 입력이 틀렸다고만 나온다. 소스코드에도 딱히 아무런 힌트가 들어있지 않다.  이것저것 뒤져본 결과 time이라는 쿠키값이 들어있는것을 확인할 수 있었다.admin페이지가 아닌 다시 index페이지로 들어가서 이 time 쿠키값을 수정해보자..