Challenges/Web - Client : XSS - Stored 2 [Root Me : Hacking and Information Security learning platform] Challenges/Web - Client : XSS - Stored 2 [Root Me : Hacking and Information Security learning platform] www.root-me.org  일단 문제를 풀기 전에 개념을 간단히 살펴보고 넘어가자.  XSS(크로스 사이트 스크립트)란? 공격 유형부터 보안대책까지! | SK쉴더스 XSS(크로스 사이트 스크립트)란? 공격 유형부터 보안대책까지! | SK쉴더스온전한 지속가능의 시작, 안녕을 지키는 기술에서 시작합니다. SK쉴더스www.skshieldus..

DOM XSS | 워게임 | Dreamhack | 워게임 | Dreamhack DOM XSSDescription Exercise: DOM XSS에서 실습하는 문제입니다. 문제 수정 내역 2023.08.11 Dockerfile 제공dreamhack.io 5주차_Webhacking 과제1 : DOM XSS 5주차_Webhacking 과제1 : DOM XSS이번주 웹해킹 학습내용은 XSS(CROSS SITE SCRIPTING) 이다. XSS(CROSS SITE SCRIPTING)란? 대표적인 클라이언트 사이드 취약점 중 하나로 공격자가 웹 리소스에 악성 스크립트를 삽입하여 이용자의 웹 브라우jootopia0808.tistory.com  해당 DOM XSS 취약점 관련 문제는 과거에도 풀었던 경험이 있다. Do..

file-download-1 | 워게임 | Dreamhack | 워게임 | Dreamhack file-download-1File Download 취약점이 존재하는 웹 서비스입니다. flag.py를 다운로드 받으면 플래그를 획득할 수 있습니다. Reference Introduction of Webhackingdreamhack.io  문제 설명File Download 취약점이 존재하는 웹 서비스입니다.flag.py를 다운로드 받으면 플래그를 획득할 수 있습니다. 우선 File Download 취약점에 대해서 찾아보자. 1. 파일 다운로드 취약점이란?파일 다운로드 기능 사용 시 임의의 문자나 주요 파일의 입력을 통해 웹 서버의 홈 디렉터리를 벗어나 임의의 위치에 있는 파일을 열람하거나 다운 가능한 취약점(pa..

sql injection bypass WAF | 워게임 | Dreamhack | 워게임 | Dreamhack sql injection bypass WAFDescription Exercise: SQL Injection Bypass WAF에서 실습하는 문제입니다. 문제 수정 내역 2023.07.24 Dockerfile 제공.dreamhack.io Exercise: SQL Injection Bypass WAF에서 실습하는 문제입니다. 서버를 생성하고, 문제를 풀어보겠다.  시작화면은 이와 같았는데, sql인젝션을 하기위한 기본 틀처럼 보였다.  일단, admin을 이용해 어떤 식으로 구현되는지 분위기를 보도록하자.  입력했더니 위와같이 떴는데, WAF에 의해서 내 요청이 막혀있다고 뜬다.문제 제목에 있는 WA..

🔻 과제 1    일단 내가 수행해야할 미션이 admin page를 접근해야하는 것이고, guest로 로그인하기위한 방법이 제시되어 있다.    우선 제시된 것처럼 guest로 로그인을 해봤다. 이제 admin으로 접속할 방법을 찾아봐야겠다.  proxy를 눌러보니 위와 같이 Request와 Response의 정보가 떴다.해당 문제를 풀기위해서는 Burp Suite을 통해서 접근해야할 것 같은 느낌이 들었다.    프로그램을 실행시켜서 브라우저를 오픈해서 해당 사이트를 들어가니, 에러가 났다.  해당 에러에 대해서 찾아보았는데,  HTTPS를 통해 HTTP포트에 액세스했기 때문에 발생했다고 한다.이해를 잘 못하겠어서 해당 내용과 문제 풀이 방법에 대해 찾아보았다. 일단 해당문제에 proxy부분을 보고 ..

📌웹 기초 지식  이용자가 브라우저를 이용하여 웹서버에 접속브라우저는 이용자의 요청을 해석하여 HTTP형식으로 웹 서버에 리소스를 요청HTTP로 전달된 이용자의 요청을 Server Application에서 해석해석한 이용자의 요청에 따라 적절한 동작을 수행 계좌 송금, 입금과 같은 복잡한 동작을 요구할 경우 내부적으로 필요한 연산을 처리이용자에게 전달할 리소스를 HTTP 형식으로 이용자에게 전달브라우저는 서버에게 응답받은 HTML,CSS,JS 등의 웹 리소스를 시각화하여 이용자에게 보여줌  📌HTTP /HTTPS HTTP란 서버와 클라이언트의 데이터 교환을 요청과 응답 형식으로 정의한 프로토콜을 말한다. HTTP 한계점 : HTTP의 응답과 요청은 평문으로 전달되며, 만약 누군가 이를 가로챈다면 중요..