728x90 반응형 전체 글86 웹해킹트랙 4주차 과제 - 드림핵 웹해킹1 #SQL Injection STAGE 6 SQL Injection -Background: Relational DBMS 데이터베이스 : 데이터가 저장되는 공간 DataBase Management System (DBMS) :데이터베이스를 관리하는 애플리케이션 웹 서비스는 데이터베이스에 정보를 저장하고, 이를 관리하기 위해 DataBase Management System (DBMS)을 사용 DBMS는 데이터베이스에 새로운 정보를 기록하거나 기록된 내용을 수정, 삭제하는 역할 다수의 사람이 동시에 데이터베이스에 접근할 수 있고, 웹 서비스의 검색 기능과 같이 복잡한 요구사항을 만족하는 데이터를 조회할 수 있다는 특징이 있다. 두 DBMS의 가장 큰 차이로 관계형은 행과 열의 집합인 테이블 형식으로 데이터를 저장하고, 비관계형은 테이블 형.. 2022. 10. 19. 웹해킹트랙 4주차 과제 - 드림핵 웹해킹1 #Cross-Site-Request-Forgery(CSRF) STAGE 5 Cross Site Request Forgery(CSRF) -ClientSide: CSRF Cross Site Request Forgery (CSRF) 사이트 간 요청 위조 : 임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점 이용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격 공격자는 임의 이용자의 권한으로 서비스 기능을 사용해 이득을 취할 수 있다. ->이용자의 계정으로 임의 금액을 송금해 금전적인 이득을 취하거나 비밀번호를 변경해 계정을 탈취하고, 관리자 계정을 공격해 공지사항 작성 등으로 혼란을 야기할 수 있다. Cross Site Request Forgery 동작 CSRF 공격에 성공하기 위해서는 공격자가 작성한 악.. 2022. 10. 19. 웹해킹트랙 4주차 과제 - 드림핵 웹해킹1 #Cross-Site-Scripting(XSS) STAGE 4 Cross-Site-Scripting(XSS) -ClientSide: XSS 클라이언트 사이드 취약점은 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점으로, 이용자를 식별하기 위한 세션 및 쿠키 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다. Cross Site Scripting(XSS) : 클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다. ->드림핵 웹 페이지에서 XSS 취약점이 존재하면 https://dreamhack.io 내에서 오리진 권한으로 악성 스크립트를 삽입 이용자가 악성 스크립트가 .. 2022. 10. 19. 웹해킹트랙 4주차 과제 - 드림핵 웹해킹1 #Cookie & Session STAGE 3 Cookie & Session -Background: Cookie & Session HTTP 프로토콜 특징 Connectionless : 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것을 의미 특정 요청에 대한 연결은 이후의 요청과 이어지지 않고 새 요청이 있을 때 마다 항상 새로운 연결을 맺는다. Stateless : 통신이 끝난 후 상태 정보를 저장하지 않는 것을 의미 이전 연결에서 사용한 데이터를 다른 연결에서 요구할 수 없다. 클라이언트의 IP 주소와 User-Agent는 매번 변경될 수 있는 고유하지 않은 정보일 뿐만 아니라, Connectionless와 Stateless 특징 때문에 HTTP 웹 서버는 클라이언트를 기억할 수 없다. 쿠키(Cookie) : HTTP에서 상태.. 2022. 10. 19. 웹해킹트랙 4주차 과제 - 드림핵 웹해킹1 #Background - Web https://dreamhack.io/ 해커들의 놀이터, Dreamhack 해킹과 보안에 대한 공부를 하고 싶은 학생, 안전한 코드를 작성하고 싶은 개발자, 보안 지식과 실력을 업그레이드 시키고 싶은 보안 전문가까지 함께 공부하고 연습하며 지식을 나누고 실력 향 dreamhack.io STAGE 2 Background - Web -Background: HTTP/HTTPS 인코딩 표준 : 0과 1로 우리의 문자를 표현하는 것에 대한 약속 아스키(Ascii) : 7비트 데이터에 대한 인코딩 표준으로 알파벳과 특수 문자 등을 표현할 수 있으나 호환성 문제로 유니코드가 새로 만들어졌다. 유니코드(Unicode) : 모든 언어의 문자를 하나의 표준에 담았다. 최대 32개의 비트로 표현되는데, 이는 표현가능한 정보.. 2022. 10. 19. 웹해킹트랙 1~3주차 과제 - 코드업 파이썬 기초 100제 https://codeup.kr/ CodeUp ☆ 파이썬 다운로드 : 파이썬3 ☆ 무료 C언어 IDE : Code::blocks DEV C++ ☆ 추천 온라인 IDE : C C++11 Python3 Java ☆ 채점 가능 언어 : C, C++, JAVA, Python 3.5 ★ C++로 제출시 void main()을 사용하면 codeup.kr print('%x'% n) #n에 저장되어있는 값을 16진수(hexadecimal) 소문자 형태 문자열로 출력 %X는 16진수(hexadecimal) 대문자 형태로 출력 %o로 출력하면 8진수(octal) 문자열로 출력 n = ord(input()) #입력받은 문자를 10진수 유니코드 값으로 변환한 후, n에 저장 c = int(input()) print(chr(c.. 2022. 10. 9. 이전 1 ··· 8 9 10 11 다음 728x90 반응형