Game
Experience various hacking games, test sites, etc
-
์ด๋ฒ ํฌ์คํ ์ ' Session Mgmt. - Session ID in URL' ์ ๋๋ค. ์ด๋ฒ ํ์ด์ง๋ ๋ค๋ฅธ ์ฌ์ฉ์์ ์ธ์ ์ ๋ณด๋ฅผ ์ด์ฉํ์ฌ ๊ถํ ํ๋ ์ฌ๋ถ๋ฅผ ํ์ธํ ์ ์๋ค. ์ด ์ค์ต์์๋ ๋ค๋ฅธ ์ฌ์ฉ์์ ์ธ์ ์ ํ๋ํ์๋ค๋ ๊ฐ์ ํ์ ์งํ๋๋ค. ์ค๋ฌด์์๋ ๊ฒ์ํ์ ์คํฌ๋ฆฝํธ๋ฅผ ์ฝ์ ํ์ฌ ์ฌ์ฉ์์ ์ ๋ณด๋ฅผ ํ๋ํ๊ฑฐ๋(xss), ๋คํธ์ํฌ ์คํธํ ๊ณต๊ฒฉ์ ์ด์ฉํ์ฌ ํ๋ํ ์ ์๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋์ด๋ ํ ์ ์ ! ์ธ์ ID๋ URL์ ๋ ธ์ถ๋์ด์๋ ์ ๋ฉ๋๋ค! ๊ทผ๋ฐ ๋ ธ์ถ๋์ด์๋ค์ ...ใ ๊ณต๊ฒฉ์ ์ํด์ ๋ค๋ฅธ ์น ๋ธ๋ผ์ฐ์ ๋ก ๋น๋ฐ์ค์ ๋ก๊ทธ์ธ ํ์ด์ง๋ก ์ ์ํฉ๋๋ค. (ํ์ฌ ์ฐ..
[Bee-box] Session Mgmt. - Session ID in URL์ด๋ฒ ํฌ์คํ ์ ' Session Mgmt. - Session ID in URL' ์ ๋๋ค. ์ด๋ฒ ํ์ด์ง๋ ๋ค๋ฅธ ์ฌ์ฉ์์ ์ธ์ ์ ๋ณด๋ฅผ ์ด์ฉํ์ฌ ๊ถํ ํ๋ ์ฌ๋ถ๋ฅผ ํ์ธํ ์ ์๋ค. ์ด ์ค์ต์์๋ ๋ค๋ฅธ ์ฌ์ฉ์์ ์ธ์ ์ ํ๋ํ์๋ค๋ ๊ฐ์ ํ์ ์งํ๋๋ค. ์ค๋ฌด์์๋ ๊ฒ์ํ์ ์คํฌ๋ฆฝํธ๋ฅผ ์ฝ์ ํ์ฌ ์ฌ์ฉ์์ ์ ๋ณด๋ฅผ ํ๋ํ๊ฑฐ๋(xss), ๋คํธ์ํฌ ์คํธํ ๊ณต๊ฒฉ์ ์ด์ฉํ์ฌ ํ๋ํ ์ ์๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋์ด๋ ํ ์ ์ ! ์ธ์ ID๋ URL์ ๋ ธ์ถ๋์ด์๋ ์ ๋ฉ๋๋ค! ๊ทผ๋ฐ ๋ ธ์ถ๋์ด์๋ค์ ...ใ ๊ณต๊ฒฉ์ ์ํด์ ๋ค๋ฅธ ์น ๋ธ๋ผ์ฐ์ ๋ก ๋น๋ฐ์ค์ ๋ก๊ทธ์ธ ํ์ด์ง๋ก ์ ์ํฉ๋๋ค. (ํ์ฌ ์ฐ..
2020.09.25 -
์ด๋ฒ ํฌ์คํ ์ 'Session Management Vulnerabilities - ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ์ธ์ ๊ด๋ฆฌ ์ทจ์ฝ์ ์ธ์ ์ ์น ์ฌ์ดํธ์์ ์๋น์ค๋ฅผ ์ ๊ณตํ ๋ ์ฌ์ฉ์์ ๋ก๊ทธ์ธ์ ์ ์งํ๊ธฐ ์ํ์ฌ ์ฌ์ฉํ๋ค. lucete1230-cyberpolice.tistory.com/22 >> ์ฟ ํค์ ์ธ์ ์์๋ณด๊ธฐ ์ธ์ ๊ด๋ฆฌ๊ฐ ์ํํ๋ฉด ์ธ์ ์ ๊ฐ๋ก์ฑ์ ์ฌ์ฌ์ฉํ๋ ๊ณต๊ฒฉ์ด ๊ฐ๋ฅํ๋ค. ์ค๋ฌด์์๋ ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ์ ๋ํ ์ธ์ ์ฒ๋ฆฌ๋ฅผ ์ ๋๋ก ํ์ง ์์ ๋ง์ ์ทจ์ฝ์ ๋ค์ด ๋์ถ๋๋ค. ํนํ ๊ฐ๋ฐ์๊ฐ ์ค๊ฐ์ ๊ต์ฒด๋๊ฑฐ๋ ์ ์ง๋ณด์ํ๋ฉฐ ์ถ๊ฐ๋ ํ์ด์ง์ ๋ํด ์ธ์ ์ฒ๋ฆฌ..
[Bee-box] Session - ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ์ด๋ฒ ํฌ์คํ ์ 'Session Management Vulnerabilities - ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ์ธ์ ๊ด๋ฆฌ ์ทจ์ฝ์ ์ธ์ ์ ์น ์ฌ์ดํธ์์ ์๋น์ค๋ฅผ ์ ๊ณตํ ๋ ์ฌ์ฉ์์ ๋ก๊ทธ์ธ์ ์ ์งํ๊ธฐ ์ํ์ฌ ์ฌ์ฉํ๋ค. lucete1230-cyberpolice.tistory.com/22 >> ์ฟ ํค์ ์ธ์ ์์๋ณด๊ธฐ ์ธ์ ๊ด๋ฆฌ๊ฐ ์ํํ๋ฉด ์ธ์ ์ ๊ฐ๋ก์ฑ์ ์ฌ์ฌ์ฉํ๋ ๊ณต๊ฒฉ์ด ๊ฐ๋ฅํ๋ค. ์ค๋ฌด์์๋ ๊ด๋ฆฌ์ ํ์ด์ง ์ ๊ทผ์ ๋ํ ์ธ์ ์ฒ๋ฆฌ๋ฅผ ์ ๋๋ก ํ์ง ์์ ๋ง์ ์ทจ์ฝ์ ๋ค์ด ๋์ถ๋๋ค. ํนํ ๊ฐ๋ฐ์๊ฐ ์ค๊ฐ์ ๊ต์ฒด๋๊ฑฐ๋ ์ ์ง๋ณด์ํ๋ฉฐ ์ถ๊ฐ๋ ํ์ด์ง์ ๋ํด ์ธ์ ์ฒ๋ฆฌ..
2020.09.24 -
์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Weak Passwords' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋น๋ฐ๋ฒํธ ์ฌ์ ๋์ ๊ณต๊ฒฉ ๋น๋ฐ๋ฒํธ ์ฌ์ ๋์ ๊ณต๊ฒฉ(weak password)์ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ๊ณผ ๋น์ทํด ๋ณด์ด์ง๋ง, ๋น๋ฐ๋ฒํธ๋ฅผ ์ค์ ํ๋ ์ฌ๋๋ค์ด ์ ํธํ๋ ๋ฌธ์์ด์ ๋์ ํ๋ ๊ณต๊ฒฉ์ด๋ค. ์ธ์ฆ ๊ณผ์ ์ ์ํธํ๊ฐ ๋ณต์กํ์ฌ๋ ์ฌ์ฉ์๊ฐ ์ค์ ํ๋ ๋น๋ฐ๋ฒํธ๊ฐ ๊ฐ๋จํ๋ค๋ฉด ๊ณต๊ฒฉ์๋ ๋ค๋ฅธ์ฌ์ฉ์๋ก ์ฝ๊ฒ ๋ก๊ทธ์ธ ํ ์ ์๋ค. ์ด๋ ์ฌ์ฉ์๋ค์ด ์ธ์ฐ๊ธฐ ์ฌ์ด ๋ฌธ์์ด์ ์ค์ ํ๊ธฐ ๋๋ฌธ์ด๋ค. ๋ฐ๋ผ์ ์ฌ์ฉ์๋ค์ด ๊ฐ์ฅ ์ฆ๊ฒจ ์ฐ๋ ๋น๋ฐ๋ฒํธ๋ฅผ ๋ง์น ์ฌ์ ์ฒ๋ผ ๊ธฐ๋กํ, ํ์ผ์ ์๋ ๋ฌธ์์ด์ ํ๋์ฉ ๋์ ํ์ฌ ..
[Bee-box] Broken Auth. - Password Attacks์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Weak Passwords' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋น๋ฐ๋ฒํธ ์ฌ์ ๋์ ๊ณต๊ฒฉ ๋น๋ฐ๋ฒํธ ์ฌ์ ๋์ ๊ณต๊ฒฉ(weak password)์ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ๊ณผ ๋น์ทํด ๋ณด์ด์ง๋ง, ๋น๋ฐ๋ฒํธ๋ฅผ ์ค์ ํ๋ ์ฌ๋๋ค์ด ์ ํธํ๋ ๋ฌธ์์ด์ ๋์ ํ๋ ๊ณต๊ฒฉ์ด๋ค. ์ธ์ฆ ๊ณผ์ ์ ์ํธํ๊ฐ ๋ณต์กํ์ฌ๋ ์ฌ์ฉ์๊ฐ ์ค์ ํ๋ ๋น๋ฐ๋ฒํธ๊ฐ ๊ฐ๋จํ๋ค๋ฉด ๊ณต๊ฒฉ์๋ ๋ค๋ฅธ์ฌ์ฉ์๋ก ์ฝ๊ฒ ๋ก๊ทธ์ธ ํ ์ ์๋ค. ์ด๋ ์ฌ์ฉ์๋ค์ด ์ธ์ฐ๊ธฐ ์ฌ์ด ๋ฌธ์์ด์ ์ค์ ํ๊ธฐ ๋๋ฌธ์ด๋ค. ๋ฐ๋ผ์ ์ฌ์ฉ์๋ค์ด ๊ฐ์ฅ ์ฆ๊ฒจ ์ฐ๋ ๋น๋ฐ๋ฒํธ๋ฅผ ๋ง์น ์ฌ์ ์ฒ๋ผ ๊ธฐ๋กํ, ํ์ผ์ ์๋ ๋ฌธ์์ด์ ํ๋์ฉ ๋์ ํ์ฌ ..
2020.09.24 -
[old - 15 ๋ฌธ์ ํ์ด] 15๋ฒ ๋ฌธ์ ๋ฅผ ๊ทธ๋ฅ ์ ์๊ฐ ์ ค ๋ฎ์์ ๊ณจ๋ผ๋ดค๋ค. 50์ js๋ผ๋ ๊ทธ๋ฆผ์ด ์๋ ๊ฑธ ๋ณด๋ฉด javascript ๋ฌธ์ ์ธ ๊ฒ ๊ฐ๋ค. ์ผ๋จ ๋ฌธ์ ๋ฅผ ํ์ด๋ณด๊ฒ ๋ค. F12๋ฅผ ๋๋ฌ์ ํ์ธํด๋ณด๋ฉด, script๋ก ๊ฒฝ๊ณ ์ฐฝ์ด ๋ ์์ด์ ์๋ฌด๊ฒ๋ ์๋ณด์ธ๋ค. ์ด ํฑ๋๋ฐํด ๋ชจ์์ ํด๋ฆญํด์ฃผ๋ฉด ๋๋ฅด๋ฉด ์๋์ฒ๋ผ ์ ํ ํ ์ ์๋ ์ฐฝ์ด ๋ธ. ์๋๋ก ๋ด๋ฆฌ๋ค ๋ณด๋ฉด, debugger ์ disable javaScript ๋ผ๋ ํญ๋ชฉ์ด ์๋ค. javascript๋ฅผ ๋นํ์ฑํ ์ํค๋ ๊ฒ์ด๋ค. ๋นํ์ฑํ์ํค๊ณ F5๋ฅผ ๋๋ฌ๋ณด๋ฉด script ํ๊ทธ๊ฐ ๊บผ์ง๋ค.(์๋ธ) ์ฝ๋๊ฐ ์ด์ ๋ณด์ธ๋ค! ๋ญ๊ฐ ๋ง์ง๋ง ์ฝ๋๊ฐ ์์ํด์ ์ฃผ์์ ?getFlag๋ฅผ ์ ๋ ฅํด๋ดค๋ค. Clear...
[old-15] Webhacking.kr[old - 15 ๋ฌธ์ ํ์ด] 15๋ฒ ๋ฌธ์ ๋ฅผ ๊ทธ๋ฅ ์ ์๊ฐ ์ ค ๋ฎ์์ ๊ณจ๋ผ๋ดค๋ค. 50์ js๋ผ๋ ๊ทธ๋ฆผ์ด ์๋ ๊ฑธ ๋ณด๋ฉด javascript ๋ฌธ์ ์ธ ๊ฒ ๊ฐ๋ค. ์ผ๋จ ๋ฌธ์ ๋ฅผ ํ์ด๋ณด๊ฒ ๋ค. F12๋ฅผ ๋๋ฌ์ ํ์ธํด๋ณด๋ฉด, script๋ก ๊ฒฝ๊ณ ์ฐฝ์ด ๋ ์์ด์ ์๋ฌด๊ฒ๋ ์๋ณด์ธ๋ค. ์ด ํฑ๋๋ฐํด ๋ชจ์์ ํด๋ฆญํด์ฃผ๋ฉด ๋๋ฅด๋ฉด ์๋์ฒ๋ผ ์ ํ ํ ์ ์๋ ์ฐฝ์ด ๋ธ. ์๋๋ก ๋ด๋ฆฌ๋ค ๋ณด๋ฉด, debugger ์ disable javaScript ๋ผ๋ ํญ๋ชฉ์ด ์๋ค. javascript๋ฅผ ๋นํ์ฑํ ์ํค๋ ๊ฒ์ด๋ค. ๋นํ์ฑํ์ํค๊ณ F5๋ฅผ ๋๋ฌ๋ณด๋ฉด script ํ๊ทธ๊ฐ ๊บผ์ง๋ค.(์๋ธ) ์ฝ๋๊ฐ ์ด์ ๋ณด์ธ๋ค! ๋ญ๊ฐ ๋ง์ง๋ง ์ฝ๋๊ฐ ์์ํด์ ์ฃผ์์ ?getFlag๋ฅผ ์ ๋ ฅํด๋ดค๋ค. Clear...
2020.09.23 -
์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Password Attacks' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋น๋ฐ๋ฒํธ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ ๋น๋ฐ๋ฒํธ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ(Password Attack)์ ์ฌ์ฉ์์ ๋ํ ๊ณ์ ์ ๋ณด๋ฅผ ํ๋ํ๊ธฐ ์ํด ๋น๋ฐ๋ฒํธ๋ก ์ ๋ ฅ ๊ฐ๋ฅํ ๋ชจ๋ ๋ฌธ์ ์กฐํฉ์ ์ ๋ ฅํ์ฌ, ์ฌ์ฉ์์ ๊ณ์ ๊ณผ ๋น๋ฐ๋ฒํธ๊ฐ ์ผ์นํ ๋๊น์ง ๋์ ํ๋ ๊ณต๊ฒฉ์ด๋ค. ์ผ์ผ์ด ์๋์ผ๋ก ์ ๋ ฅํ๋ ๊ฒ๋ณด๋ค๋ ์๋ํ ๋๊ตฌ๋ฅผ ํจ์จ์ ์ผ๋ก ์ฌ์ฉํ๋๊ฒ ์ข๋ค.(ํ์ด์ฌ๋ ๊ด์ฐฎ์) ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ์ ํ ๋๋ ์น ์ฌ์ดํธ์ ๋น๋ฐ๋ฒํธ ์ ์ฑ ์ ํ์ ํ ํ, ์กฐํฉํ ๋ฌธ์์ ๊ตฌ์ฑ๊ณผ ์ต์ ๋ฌธ์์ด ๊ธธ์ด๋ฅผ ์ ํด์ค๋ค. ๋ฌธ์์ ..
[Bee-box] Broken Auth. - Password Attacks์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Password Attacks' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ๋น๋ฐ๋ฒํธ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ ๋น๋ฐ๋ฒํธ ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ(Password Attack)์ ์ฌ์ฉ์์ ๋ํ ๊ณ์ ์ ๋ณด๋ฅผ ํ๋ํ๊ธฐ ์ํด ๋น๋ฐ๋ฒํธ๋ก ์ ๋ ฅ ๊ฐ๋ฅํ ๋ชจ๋ ๋ฌธ์ ์กฐํฉ์ ์ ๋ ฅํ์ฌ, ์ฌ์ฉ์์ ๊ณ์ ๊ณผ ๋น๋ฐ๋ฒํธ๊ฐ ์ผ์นํ ๋๊น์ง ๋์ ํ๋ ๊ณต๊ฒฉ์ด๋ค. ์ผ์ผ์ด ์๋์ผ๋ก ์ ๋ ฅํ๋ ๊ฒ๋ณด๋ค๋ ์๋ํ ๋๊ตฌ๋ฅผ ํจ์จ์ ์ผ๋ก ์ฌ์ฉํ๋๊ฒ ์ข๋ค.(ํ์ด์ฌ๋ ๊ด์ฐฎ์) ๋ฌด์ฐจ๋ณ ๋์ ๊ณต๊ฒฉ์ ํ ๋๋ ์น ์ฌ์ดํธ์ ๋น๋ฐ๋ฒํธ ์ ์ฑ ์ ํ์ ํ ํ, ์กฐํฉํ ๋ฌธ์์ ๊ตฌ์ฑ๊ณผ ์ต์ ๋ฌธ์์ด ๊ธธ์ด๋ฅผ ์ ํด์ค๋ค. ๋ฌธ์์ ..
2020.09.22 -
์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Insecure Login Forms' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ์์ ํ์ง ์์ ๋ก๊ทธ์ธ ํ์ 'ba_insecure_login_1.php' ํ์ด์ง์์๋ ์น ํ์ด์ง๊ฐ ์์ ํ์ง ์์ ๋ก๊ทธ์ธ ํ์์ ์ฌ์ฉํ๋์ง ์ ๊ฒํ๋ค. ๋์ด๋ ํ ํ์ด์ง๋ฅผ ํด๋ฆญํด์ค๋ค. (์ ๋ ๊ณต๊ฒฉ์ ์๋ก ์ ๊ทธ๋ ์ด๋ ๋ ๊ณต๊ฒฉ์ค์ต ์ธ๊ฒ ๊ฐ์๋ค.) ํ์ด์ง์ ๋ค์ด์์ ๋ณด๋, ๋ก๊ทธ์ธ ํ๋ ํ์ด์ง์ด๋ค. ์ด ํ์ด์ง์ ์์ค ์ฝ๋๋ฅผ ๊ฐ๋ฐ์๋๊ตฌ[F12]๋ก ํ์ธํ๋ค. 'main'์์ POST๋ฐฉ์์ผ๋ก ์ ์กํ๋ form ํ๊ทธ๋ฅผ ์ฐพ์์ ๋ณด๋ฉด, login์ด๋ผ๋ ๋ ์ด๋ธ ๋ฐ์ ํฐ์์ผ..
[Bee-box] Broken Auth. - Insecure Login Forms์ด๋ฒ ํฌ์คํ ์ 'Broken Auth. - Insecure Login Forms' ์ ๋๋ค. ์ค์ตํ๋ ๋ชจ๋ ๊ณต๊ฒฉ์ ์ค์ ๋ก ์ฌ์ฉํ์๋ฉด ์๋ฉ๋๋ค. ํ์ฉ๋ฐ์ง ์์ ์๋น์ค ๋์์ ํดํน์ ์๋ํ๋ ํ๋์ ๊ธ์งํ๋ฉฐ, ๋ชจ๋ ๋ฒ์ ์ฑ ์์ ์ฌ์ฉ์์๊ฒ ์๋ ๊ฒ์ ๋ช ์ฌํด์ฃผ์ธ์. ์์ ํ์ง ์์ ๋ก๊ทธ์ธ ํ์ 'ba_insecure_login_1.php' ํ์ด์ง์์๋ ์น ํ์ด์ง๊ฐ ์์ ํ์ง ์์ ๋ก๊ทธ์ธ ํ์์ ์ฌ์ฉํ๋์ง ์ ๊ฒํ๋ค. ๋์ด๋ ํ ํ์ด์ง๋ฅผ ํด๋ฆญํด์ค๋ค. (์ ๋ ๊ณต๊ฒฉ์ ์๋ก ์ ๊ทธ๋ ์ด๋ ๋ ๊ณต๊ฒฉ์ค์ต ์ธ๊ฒ ๊ฐ์๋ค.) ํ์ด์ง์ ๋ค์ด์์ ๋ณด๋, ๋ก๊ทธ์ธ ํ๋ ํ์ด์ง์ด๋ค. ์ด ํ์ด์ง์ ์์ค ์ฝ๋๋ฅผ ๊ฐ๋ฐ์๋๊ตฌ[F12]๋ก ํ์ธํ๋ค. 'main'์์ POST๋ฐฉ์์ผ๋ก ์ ์กํ๋ form ํ๊ทธ๋ฅผ ์ฐพ์์ ๋ณด๋ฉด, login์ด๋ผ๋ ๋ ์ด๋ธ ๋ฐ์ ํฐ์์ผ..
2020.09.22 -
์ด๋ฒ ํฌ์คํ ์ '์ธ์ฆ๊ฒฐํฉ' ์ ๋๋ค. ์ค์ต ๊ณผ์ ์ด ์๋, A2ํํธ๋ฅผ ์์ํ๋ฉด์ ํ์ํ ์ง์๊ณผ ๊ณต๊ฒฉ ํ๋ฆ๋๋ฅผ ์ค๋ช ํ๊ฒ ์ต๋๋ค. ์น ์ ํ๋ฆฌ์ผ์ด์ ์์๋ ๋ก๊ทธ์ธํ๋ ๋์์ด ์์ด๋์ ๋น๋ฐ๋ฒํธ๋ฅผ ์ด์ฉํ์ฌ ์ฌ์ดํธ์ ๋ฑ๋ก๋ ์ฌ์ฉ์๊ฐ ๋ง๋์ง ํ์ธํ๋์ธ์ฆ ์ ์ฐจ๋ฅผ ๊ฑฐ์น๋ค. ์ด ์ธ์ฆ ์ ์ฐจ๋ฅผ ๊ฑฐ์ณ ์ฌ์ฉ์๋ก ํ์ธ๋๋ฉด ์น์ฌ์ดํธ์์ ํน์ ๊ถํ์ ๋ฐ๋๋ค. ๋ํ ์ธ์ฆ ํ ํ์ด์ง๋ฅผ ์ด๋ํ ๋ ๋ก๊ทธ์ธ ์ํ๋ฅผ ์ ์งํ๋ฉฐ, ์ผ์ ์๊ฐ์ ๋ฐ๋ผ ์ ์ ์ด๊ธฐํ๋ฅผ ํ๋ค. (์ธ์ ์์ฑํ๊ณ ์ค์ ํด์ฃผ๋ฉด ์ด์ผ๋จ) ๊ทธ๋ฌ๋ ์ด ๊ณผ์ (์ธ์ฆ ๊ณผ์ )์์ ๊ฒฐํจ์ด ๋ฐ์ํ๋ฉด ์ฌ์ฉ์์ ๊ณ์ ์ ๋ณด๊ฐ ๋ ธ์ถ๋๊ณ ๊ณต๊ฒฉ์๋ ๋ ธ์ถ๋ ๊ณ์ ์ ๋ณด๋ก ๋ก๊ทธ์ธ ํ ์ ์๋ค. ๋ํ ์ธ์ ๊ด๋ฆฌ๊ฐ ํ์ ํ ๊ฒฝ์ฐ ๊ณต๊ฒฉ์๋ ์ธ์ ์์ด๋๋ฅผ ํ์ทจํ์ฌ ์ฌ์ฉ์์ ๊ถํ์ ํ๋ํ๊ธฐ๋ ํ๋ค. ๊ณต๊ฒฉ์๊ฐ ๊ณต๊ฒฉ์ ์ฑ๊ณตํ๋ค๋ฉด (..
[Bee-box] ์ธ์ฆ ๊ฒฐํฉ์ด๋ฒ ํฌ์คํ ์ '์ธ์ฆ๊ฒฐํฉ' ์ ๋๋ค. ์ค์ต ๊ณผ์ ์ด ์๋, A2ํํธ๋ฅผ ์์ํ๋ฉด์ ํ์ํ ์ง์๊ณผ ๊ณต๊ฒฉ ํ๋ฆ๋๋ฅผ ์ค๋ช ํ๊ฒ ์ต๋๋ค. ์น ์ ํ๋ฆฌ์ผ์ด์ ์์๋ ๋ก๊ทธ์ธํ๋ ๋์์ด ์์ด๋์ ๋น๋ฐ๋ฒํธ๋ฅผ ์ด์ฉํ์ฌ ์ฌ์ดํธ์ ๋ฑ๋ก๋ ์ฌ์ฉ์๊ฐ ๋ง๋์ง ํ์ธํ๋์ธ์ฆ ์ ์ฐจ๋ฅผ ๊ฑฐ์น๋ค. ์ด ์ธ์ฆ ์ ์ฐจ๋ฅผ ๊ฑฐ์ณ ์ฌ์ฉ์๋ก ํ์ธ๋๋ฉด ์น์ฌ์ดํธ์์ ํน์ ๊ถํ์ ๋ฐ๋๋ค. ๋ํ ์ธ์ฆ ํ ํ์ด์ง๋ฅผ ์ด๋ํ ๋ ๋ก๊ทธ์ธ ์ํ๋ฅผ ์ ์งํ๋ฉฐ, ์ผ์ ์๊ฐ์ ๋ฐ๋ผ ์ ์ ์ด๊ธฐํ๋ฅผ ํ๋ค. (์ธ์ ์์ฑํ๊ณ ์ค์ ํด์ฃผ๋ฉด ์ด์ผ๋จ) ๊ทธ๋ฌ๋ ์ด ๊ณผ์ (์ธ์ฆ ๊ณผ์ )์์ ๊ฒฐํจ์ด ๋ฐ์ํ๋ฉด ์ฌ์ฉ์์ ๊ณ์ ์ ๋ณด๊ฐ ๋ ธ์ถ๋๊ณ ๊ณต๊ฒฉ์๋ ๋ ธ์ถ๋ ๊ณ์ ์ ๋ณด๋ก ๋ก๊ทธ์ธ ํ ์ ์๋ค. ๋ํ ์ธ์ ๊ด๋ฆฌ๊ฐ ํ์ ํ ๊ฒฝ์ฐ ๊ณต๊ฒฉ์๋ ์ธ์ ์์ด๋๋ฅผ ํ์ทจํ์ฌ ์ฌ์ฉ์์ ๊ถํ์ ํ๋ํ๊ธฐ๋ ํ๋ค. ๊ณต๊ฒฉ์๊ฐ ๊ณต๊ฒฉ์ ์ฑ๊ณตํ๋ค๋ฉด (..
2020.09.21 -
[๋ฌธ์ 20] ์ง๊ธ๊น์ง์ ๋ฌธ์ ๋ฐฉ์๊ณผ๋ ์กฐ๊ธ ๋ค๋ฅด๊ฒ ์ด๋ฏธ hello guest๊ฐ ์ถ๋ ฅ ๋์ด์๋ค. query๋ฅผ ๋ณด๋ id๋ guest๋ก ๊ณ ์ ๋์ด์๊ณ , ์ฃผ์์ฒ๋ฆฌ๊ฐ ๋์ด์๋ค. (๋ค ์ฟผ๋ฆฌ ๋ฌด์) pw๋ฅผ ๋ง์ถ๋ ๋ฌธ์ ๊ฐ ์๋๋ผ, id ๊ฐ admin์ด๋ฉด ํ๋ฆฌ๋ ๋ฌธ์ ์ด๋ค. ์ด๋ฏธ id=guest์ฌ์ hello guest๊ฐ ๋ฌ๊ฒ์ด๋ค. ์ด๋ฒ ๋ฌธ์ ๋ ์ฃผ์์ ์ฐํํ์ฌ, pw์ id๊ฐ admin์ด๊ฒ๋ ์ฟผ๋ฆฌ๋ฅผ ์กฐํฉํด์ฃผ๋ฉด ๋๋ ๋ฌธ์ ์ธ ๊ฒ ๊ฐ๋ค. ์ด ๋ฌธ์ ๋ฅผ ํ๊ธฐ์ ์, ์ฃผ์์ ๋ํด ์๊ณ ๋์ด๊ฐ์! mysql์์ ์ฃผ์์ฒ๋ฆฌ ๋ฐฉ๋ฒ์ ๋ค์๊ณผ ๊ฐ๋ค. 1. # : ํ ์ค์ ์ฃผ์์ฒ๋ฆฌ ํ ๋ 2. -- : ํ ์ค์ ์ฃผ์์ฒ๋ฆฌ ํ ๋ 3. /**/ : ์ฌ๋ฌ์ค ์ฃผ์์ฒ๋ฆฌ ์ด๋ฒ ๋ฌธ์ ์์ ์ฐ์ธ ์ฃผ์์ # ์ฆ ํ์ค ์ฃผ์ ์ฒ๋ฆฌ ์ด๋ค. ๋ค์ ๋ฌธ์ ๋ก ๋์๊ฐ์ ์๊ฐํด๋ณด์. ..
Lord of sql injection [20][๋ฌธ์ 20] ์ง๊ธ๊น์ง์ ๋ฌธ์ ๋ฐฉ์๊ณผ๋ ์กฐ๊ธ ๋ค๋ฅด๊ฒ ์ด๋ฏธ hello guest๊ฐ ์ถ๋ ฅ ๋์ด์๋ค. query๋ฅผ ๋ณด๋ id๋ guest๋ก ๊ณ ์ ๋์ด์๊ณ , ์ฃผ์์ฒ๋ฆฌ๊ฐ ๋์ด์๋ค. (๋ค ์ฟผ๋ฆฌ ๋ฌด์) pw๋ฅผ ๋ง์ถ๋ ๋ฌธ์ ๊ฐ ์๋๋ผ, id ๊ฐ admin์ด๋ฉด ํ๋ฆฌ๋ ๋ฌธ์ ์ด๋ค. ์ด๋ฏธ id=guest์ฌ์ hello guest๊ฐ ๋ฌ๊ฒ์ด๋ค. ์ด๋ฒ ๋ฌธ์ ๋ ์ฃผ์์ ์ฐํํ์ฌ, pw์ id๊ฐ admin์ด๊ฒ๋ ์ฟผ๋ฆฌ๋ฅผ ์กฐํฉํด์ฃผ๋ฉด ๋๋ ๋ฌธ์ ์ธ ๊ฒ ๊ฐ๋ค. ์ด ๋ฌธ์ ๋ฅผ ํ๊ธฐ์ ์, ์ฃผ์์ ๋ํด ์๊ณ ๋์ด๊ฐ์! mysql์์ ์ฃผ์์ฒ๋ฆฌ ๋ฐฉ๋ฒ์ ๋ค์๊ณผ ๊ฐ๋ค. 1. # : ํ ์ค์ ์ฃผ์์ฒ๋ฆฌ ํ ๋ 2. -- : ํ ์ค์ ์ฃผ์์ฒ๋ฆฌ ํ ๋ 3. /**/ : ์ฌ๋ฌ์ค ์ฃผ์์ฒ๋ฆฌ ์ด๋ฒ ๋ฌธ์ ์์ ์ฐ์ธ ์ฃผ์์ # ์ฆ ํ์ค ์ฃผ์ ์ฒ๋ฆฌ ์ด๋ค. ๋ค์ ๋ฌธ์ ๋ก ๋์๊ฐ์ ์๊ฐํด๋ณด์. ..
2020.09.20