web hacking

개발자 도구를 활용해서 푸는 문제이다.문제 파일을 다운 받고 펼쳐본 index.html은 다음과 같다.F12를 사용해서 개발자 도구를 확인해주었다.DH가 Flag의 형식에 해당한다는 점을 이용해서 command+F를 사용해서 dh 문자열을 검색했다. 디렉터리들을 다 펼

🍪쿠키 탄생 배경 Connectionless, Stateless 특성을 갖는 HTTP에서 상태를 유지하기 위해 쿠키(Cookie)가 탄생했다. 쿠키는 Key와 Value로 이뤄진 일종의 단위로, 서버가 클라이언트에게 쿠키를 발급하면, 클라이언트는 서버 요청을 보낼

접속하면 다음과 같은 화면을 확인할 수 있다. 곧바로 Login페이지로 이동해주었다.문제에서 제공된 app.py를 살펴보면 등록된 user의 username과 password를 확인할 수 있다.이를 바탕으로 sessionid를 얻어 admin으로 로그인을 하면 flag

관리자 권한을 획득해 FLAG를 획득하는 것이 목표이다. 문제에서는 두 페이지를 제공한다./\-> 이용자의 username을 출력하고 관리자 계정인지 확인함/login\-> username, password를 입력받고 로그인한다.다음 코드는 인덱스 페이지를 구성하는 코

동일 출처 정책, Same Origin Policy(SOP)는 클라이언트 사이드 웹 보안에 있어 중요한 요소이다.이용자가 웹 서비스에 접속할 때, 브라우저는 해당 웹 서비스에서 사용하는 인증 정보인 쿠키를 HTTP 요청에 포함시켜 전달한다. 이러한 특징은 사이트에 직접

클라이언트 사이드 취약점은 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점이다. 클라이언트 사이드 취약점의 대표적인 공격으로 Cross Site Scripting(XSS) 들 수 있다.왜 CSS가 아닌 XSS인가 궁금했는데 스타일시트 언어에 해당하는 CSS와 중복

문제 목표 및 기능 XSS 문제의 목표는 XSS를 통해 임의 이용자의 쿠키를 탈취하는 것이다. 📌 웹 서비스 분석 엔드포인트 : /vuln 다음은 vuln 페이지를 구성하는 코드이다. 사용자가 입력한 param 파라미터의 값을 출력하는 코드이다. 엔드포인트 :

문제의 시작 화면이다.

CSRF(Cross Site Request Forgery)는 임의 이용자의 권한으로 임의 주소에 HTTP요청을 보낼 수 있는 취약점이다. 공격자는 임의 이용자의 권한으로 서비스 기능을 사용해 이득을 취할 수 있다.다음은 CSRF 취약점이 존재하는 예제코드이다.코드를 보

문제의 목표는 CSRF를 통해 관리자 계정으로 특정 기능을 실행시키는 것이다.문제에서는 다음 네 페이지를 제공한다.다음은 /vuln 페이지를 구성하는 코드이다.위의 사진을 보면 삽입한 코드에 의해 이미지가 화면에 출력되었으며, 생성된 테스트베드에 요청이 온 걸 볼 수

문제의 시작 화면은 아래와 같다. 📌 코드 분석 🔑 vuln 함수 코드 중에서 vuln 함수의 코드를 보면, 리스트를 사용해서 "frame", "script", "on" 키워드가 존재할 경우 *로 필터링 해주는 걸 확인할 수 있다. 따라서 이들이 아닌 다른 태

웹 서비스는 데이터베이스에 정보를 저장하고, 이를 관리하기 위해 DataBase Management System(DBMS)을 사용한다. DBMS는 데이터베이스에 새로운 정보를 기록하거나, 기록된 내용을 수정, 삭제하는 역할을 한다. DBMS의 특징다수의 사람이 동시에