![]()
๐โWeb_Study/๐โDreamhack_Hacking
XSS(Cross Site Scripting)์ด๋? XSS๋ ์น ํ์ด์ง์ ์ด์ฉ์๋ฅผ ๋์์ผ๋ก ๊ณต๊ฒฉํ ์ ์๋ ์ทจ์ฝ์ ! ํด๋น ์ข
๋ฅ์ ์ทจ์ฝ์ ์ ํตํด ์ด์ฉ์๋ฅผ ์๋ณํ ์ธ์
๋ฐ ์ฟ ํค ์ ๋ณด ํ์ทจ, ํด๋น ๊ณ์ ์ ์์ ๊ธฐ๋ฅ ์ํํจ Cross Site Scripting์ ์ฝ์ด๊ฐ XSS์ธ ์ด์ Cross Site Scripting์ ์ฝ์ด๋ CSS๊ฐ ์ณ์ง๋ง, ์คํ์ผ์ํธ๋ฅผ ์ ์ํ๋ ์ธ์ด CSS์์ ์ค๋ณต๊ณผ ํผ๋์ผ๋ก XSS๋ก ๋ช
๋ช
๋์์ต๋๋ค ใ
XSS XSS๋ ํด๋ผ์ด์ธํธ ์ฌ์ด๋ ์ทจ์ฝ์ ์ ๋ํ์ ์ธ ์ทจ์ฝ์ ์
๋๋ค. ๊ณต๊ฒฉ์๊ฐ ์น ๋ฆฌ์์ค์ ์
์ฑ ์คํฌ๋ฆฝํธ๋ฅผ ์ฝ์
ํด ์ด์ฉ์์ ์น ๋ธ๋ผ์ฐ์ ์ ํด๋น ์คํฌ๋ฆฝํธ ์คํํ ์ ์์ง์ ๊ณต๊ฒฉ์๋ ํด๋น ์ทจ์ฝ์ ์ ํตํด ์ธ์
์ ๋ณด ํ์ทจ ํด๋น ๊ณ์ ์ผ๋ก ์์์ ๊ธฐ๋ฅ์ ์ํํฉ๋๋ค. ์๋ก ์์ ๊ฐ์ ์ด๋ฏธ์ง๊ฐ ์์ต๋๋ค. ์ค..
![]()
๐โWeb_Study/๐โDreamhack_Hacking
Mitigation: Same Origin Policy SOP์ ๋ํ์ฌ ์ด์ ๊น์ง์ ์ฟ ํค์ ์ธ์
์ ๊ดํ ๋ด์ฉ์ ๊ธฐ๋ณธ์ ์ด๋ผ์ ์ ์ ์ ๋ฆฌ๋ณด๋จ ์ง์ ๋ฐฐ์ฐ๋ฉด์ ํ๋๊ฒ ์ข์๋ณด์ฌ์.. ์ฌ์ค ๊ท์ฐฎ์์๊ฐ ์ ์ผ ํฐ๋ฐ ใ
ใ
์น์ ์ดํด์ HTTP ๐กํด๋น ๋ด์ฉ์ pentestqym์ ๋ด์ฉ์ ๋ค์ ํ ๋ฒ ์ ๋ฆฌํ ๋ด์ฉ์ด๋ฉฐ, ๋ชจ๋ ์ ์๊ถ์ ํด๋น ์ฌ์ดํธ์๊ฒ ์์ต๋๋ค. ์น(Web)์ด๋? ์น์ World Wide Web์ ์ฝ์๋ก, ์ธํฐ๋ท, ํ์ดํผ๋งํฌ ๋ฑ์ ํตํด ์ ๋ณด๋ฅผ ๊ณต์ ํ๊ณ dystopia050119.tistory.com ์ฟ ํค์ ์ธ์
๐กํด๋น ๋ด์ฉ์ pentestqym์ ๋ด์ฉ์ ๋ค์ ํ ๋ฒ ์ ๋ฆฌํ ๋ด์ฉ์ด๋ฉฐ, ๋ชจ๋ ์ ์๊ถ์ ํด๋น ์ฌ์ดํธ์๊ฒ ์์ต๋๋ค. ์ฟ ํค(Cookie)๋? ์ฟ ํค๋ ์น ์๋ฒ๊ฐ ์์ฑํ์ฌ ์น ๋ธ๋ผ์ฐ์ ๋ก ์ ์กํ๋ ์์ ์ ๋ณด ํ์ผ์
..
![]()
๐โWeb_Study/๐โDreamhack_War_Game
Funjs ๋ฌธ์ ํ์ด ๋ฌธ์ ๋ฅผ ๋ฐ์ผ๋ฉด ์ ๋ฐ flag ๋ฃ์ผ์ธ์ ํ๋๊ฒ ์ ์ ์์ด ๋ ๋ผ๋ค๋๋๋ฐ.. ๋ณด์๋ฉด ์ํฉ์ด ์ ๋ ๊ฒ ๋์ด์์ฃ ์์งํ flag ์ฐพ๋๋ฐ ์ ์์ง์ด๋๊ฑฐ ๋ฌด์ํ์
๋ ์๊ด์๊ณ , ๋ด๋ถ ์ฝ๋๋ฅผ ๋ณด์๋ฉด debugger? ๊ทธ ์ฝ๋ ๋๋ถ์ ์ด์งํผ ์ ์ง๋๊ธฐ๋ ํ๊ณ .. ๊ทธ๋๋ ๊ทธ๊ฑฐ ์ง์ฐ๊ณ ์์ ๊ณ ์ถ์ผ๋ฉด.. ์๋ ์ฝ๋๋ง ์ฃผ์์ด๋ ์ง์๋ฒ๋ ค๋ ๋ ๊ฑฐ์์ ์์ง์ด๋ ์ฝ๋(์กด์ฌ ์ฌ๋ถ ์๊ด์๊ธด ํจ) ๊ทผ๋ฐ ์ ๋ฑํ ์ ๊ฑฐ ์ ๊ฒฝ ์ ์ฐ๊ณ ํ์ด์.. ์ ์ฐธ๊ณ ๋ก ์ debugger๋ ์ง์ ๋๋ฐ ์ ๋ ์์ ํ ๋๊ฐํ ํ๊ณ ์ถ์ผ๋ฉด ์ง์ฐ์๊ณ ์ ๊ฑฐ ๋จ๊ฒจ๋๊ณ ํ์
๋ ์ง์ฅ ์์ด์. ์ ๊ทธ๋ผ ๋ณธ๊ฒฉ์ ์ผ๋ก ์ฝ๋์ ๋ํ์ฌ ๋ถ์ํด๋ด
์๋ค..(์ฝ๊ฐ ์น ๋ฆฌ๋ฒ์ฑ ๋๋??) ํต์ฌ ์ฝ๋(flag๋ฅผ ์ง์ ๋๋ฉด์ ํ์ธํจ) ํต์ฌ ์ฝ๋๋ ์์ ์ ๋๊ฒ์ ์กฐ๊ฑด์์
๋๋ค. ๋ณด์๋ฉด te..
![]()
๐โWeb_Study/๐โDreamhack_Hacking
http(Hyper Text Transfer Protocol)์ ๋ํ์ฌ ์๋ฒ์ ํด๋ผ์ด์ธํธ์ ๋ฐ์ดํฐ ๊ตํ์ ์์ฒญ(Request)๊ณผ ์๋ต(Response) ํ์์ผ๋ก ์ ์ HTTP์ ๊ธฐ๋ณธ ๋ฉ์ปค๋์ฆ์ ํด๋ผ์ด์ธํธ๊ฐ ์๋ฒ์๊ฒ ์์ฒญํ๋ฉด, ์๋ฒ๊ฐ ์๋ตํ๋ ๊ฒ์
๋๋ค. ์น ์๋ฒ๋ HTTP ์๋ฒ๋ฅผ HTTP ์๋น์ค ํฌํธ์ ๋๊ธฐ์ํต๋๋ค. ์ด ํฌํธ๋ ์ผ๋ฐ์ ์ผ๋ก TCP/80 ๋๋ TCP/8080์
๋๋ค. ํด๋ผ์ด์ธํธ๊ฐ ์๋น์ค ํฌํธ์ HTTP ์์ฒญ์ ์ ์กํ๋ฉด, ์ด๋ฅผ ํด์ํ์ฌ ์ ์ ํ ์๋ต์ ๋ฐํํฉ๋๋ค. ๋ฆฌ๋
์ค ํฌํธ ์ ๋ฆฌ ๋ฆฌ๋
์ค ํฌํธ ์ค๋ช
ํ๊ธฐ ์ ์ ์ฝ์ด์ผ ํ ๋ถ๋ถ ํฌํธ๋? ํฌํธ๋? ๋ณธ๋ ํญ๊ตฌ๋ผ๋ ์๋ฏธ๋ก์จ CS์์ OS๊ฐ์ ํต์ ์ ์ข
๋จ์ !! ๋คํธ์ํฌ ์์์ ํต์ ์ ํ ๋ IP๋ฅผ ํ ๋๋ก ํด๋น ์๋ฒ๊ฐ ์๋ ์ปดํจํฐ์ ์ ๊ทผ dystopia0501..
![]()
๐โWeb_Study/๐โDreamhack_War_Game
2๋จ๊ณ : command-injection-1 Code! ์ ์ฝ๋ ํ์ธ๊น์ง ํ์ฃ ๋นจ๊ฐ์์ผ๋ก ํ์ํ ๋ถ๋ถ์ด ํต์ฌ์ด์ฃ cmd = f๋ถ๋ถ์์ ๋ฐ๋ก ๋ฌธ์์ด ํ์
์ผ๋ก ๋ฐ์๋๋ ค cmd๋ฅผ ์คํํ๋ cmd injection ๊ณต๊ฒฉํ๋ผ๋ ๊ฑฐ์ฃ ์ญ์ ๊ท์ฝ์ด ์ด๋์ ๋ ์ ํด์ง ๋ชจ์ต์ด์์ ๋ง๊ฒ ํด์ผ๊ฒ ์ฃ ์๊น ๋ฌธ์์ด๋ก ๋ฐ๋๋ค๊ณ ํ์ผ๋๊น์ ํจํด๋ง ๋ถ์ํ๋ฉด ์ฝ๊ฒ ๋ธ ์ ์๊ฒ ์ฃ [A-Za-z0-9.]{5,20} ์ ๊ท์ ๋ถ์ ๐ก"[A-Za-z0-9.]{5,20}"์ ๊ฐ๋จํ๊ฒ ํด์ํ์๋ฉด ์๋ฌธ์๋ถํฐ ๋๋ฌธ์๊น์ง ์ ๋ถ ํ์ฉ, ๊ณต๋ฐฑ X, ์ซ์๋ 0๋ถํฐ 9๊น์ง ํ์ฉ, .๋ฌธ์๋ ํ์ฉ(pingํ๋ ์น ์ฌ์ดํธ๋๊น..) ๋ง์ง๋ง์ธ ๋ฌธ์์ด 5-20๊น์ง ์ ๊ท์ ํํ ๋ฐฉ์์ ๋ ์์ธํ ์๋ ค์ค๊ป์ ๋์ค์.. ๋ ์์ธํ ์ ๋ฆฌํด์ ์ฌ๋ฆฌ๊ฒ ์ต๋๋ค ใ
๋ฐ์ ์ฌ์ดํธ๋ ์ ๊ท์..
