| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
- geminipro
- 웹해킹 기초
- web-server
- Wargame
- 개발자
- 프로그래밍
- 코딩
- Over The Wire
- system hacking
- 정보보안
- 테크트렌드
- XSS GAME
- 사이버보안
- overthewire
- web hacking
- pythonprogramming
- hackthissite
- CTF
- write up
- sql injection bypass
- burp suite
- 웹개발
- lord of sqlinjection
- webhacking.kr
- 인공지능
- SQL Injection
- Bandit
- WebHacking
- root me
- 웹해킹
- Today
- Total
목록해킹 (41)
컴맹에서 컴공 그리고 화이트 해커가 되는 그날까지
webhacking.kr old-49 Write Up
코드 분석?php // $_GET['lv'] 값이 설정되어 있는지 확인합니다. if($_GET['lv']){ // 데이터베이스 연결 함수 호출 (구체적인 내용은 정의된 dbconnect() 함수에 따라 다릅니다). $db = dbconnect(); // $_GET['lv']에 SQL injection 방지 필터링 적용. // select, or, and, (, ), limit, ,, /, order, cash 등의 키워드와 공백, 탭, 따옴표가 포함되어 있으면 프로그램 종료. if(preg_match("/select|or|and|\(|\)|limit|,|\/|order|cash| |\t|\'|\"/i",$_GET['lv'])) exit("no hack"); // 필터링된 $_GET['lv'] 값을 사용하..
webhacking.kr old-42 Write Up
webhacking.kr old-42번 문제를 들어가면 위와 같은 table구조가 나오게 된다. 일단 download를 하나씩 눌러보았다. test.txt 쪽의 [download]는 test.txt를 다운로드할 수 있었고 flag.docx는 Access Denied라는 alert가 발생했다. 그래서 개발자 도구를 열어 소스코드를 검사해 보았다.그랬더니 test.txt의 앵커 태그에서는 "?down=dGVzdC50eHQ="라고 되어 있었고 밑에 flag.docs의 앵커 태그는 그냥 "Access Denied"가 실행되게 해 놓았었다. 따라서 flag.docx를 얻기 위해서는 test.txt의 앵커 태그를 수정해서 flag.dcx를 다운로드하면 되겠단 생각이 들었다. 그런데 저기 "dGVzdC50eHQ="이..
Pearfect Markdown (dreamhack) write up
VM에 접속하면 이렇게 생긴 화면이 나온다. 코드를 다운로드 받아서 코드를 살펴보자.index.php 파일DOCTYPE html>html lang="en">head> meta charset="UTF-8"> title>Markdown Editortitle> link rel="stylesheet" href="css/styles.css"> script src="https://cdn.jsdelivr.net/npm/marked/marked.min.js">script>head>body> div class="container"> h1>Upload and Edit Markdown Filesh1> form action="upload.php" method="post" e..
Cross-Site Scripting (XSS) 완벽 가이드: 기초부터 고급 방어 기법까지
🔒 Cross-Site Scripting (XSS) 완벽 가이드: 기초부터 고급 방어 기법까지안녕하세요, 보안 전문가 여러분! 오늘은 여전히 OWASP Top 10에서 중요한 위치를 차지하고 있는 XSS 취약점에 대해 심도 있게 다뤄보려고 합니다. 📌 최근 트렌드와 중요성 2023년에도 여전히 발생하고 있는 XSS 취약점. 특히 최근 某 대형 이커머스 플랫폼에서 발생한 stored XSS 취약점으로 인한 개인정보 유출 사고는 우리에게 큰 경각심을 주었습니다. 🎯 XSS의 기본 이해 XSS는 크게 세 가지 유형으로 구분됩니다: 1. Reflected XSS ```javascript// 취약한 예시app.get('/welcome', (req, res) => { res.send(`환영합니다, ${r..
사이버 보안 연구원: 디지털 시대의 수호자들
🔍 사이버 보안 연구원: 디지털 시대의 수호자들안녕하세요! 오늘은 현대 사회의 디지털 탐정, 사이버 보안 연구원에 대해 심도 있게 알아보겠습니다. 🎯 들어가며 디지털 세상이 확장될수록 사이버 보안의 중요성은 더욱 커지고 있습니다. 2023년 한 해 동안만 해도 전 세계적으로 수많은 사이버 공격이 발생했죠. 이런 위협으로부터 우리를 지키는 숨은 영웅들이 바로 사이버 보안 연구원들입니다. 💼 사이버 보안 연구원의 역할 • 취약점 분석 및 발견 • 보안 시스템 설계 및 개선 • 위협 인텔리전스 수집 • 인시던트 대응 프로토콜 수립 🛠 필수 기술과 도구 1. 기술적 역량 - 프로그래밍 언어 (Python, Java, C++ 등) - 네트워크 프로토콜 이해 - 운영체제 보안 - 리버스 엔지니어링 2. 핵심..
🔍 C 언어 포인터와 메모리 보안: 실전 가이드
🔍 C 언어 포인터와 메모리 보안: 실전 가이드━━━━━━━━━━━━━━━━━━━━━━━━안녕하세요, 개발자 여러분! 오늘은 C 언어의 핵심이자 가장 강력한 기능인 포인터에 대해 알아보겠습니다. 특히 메모리 보안 관점에서 포인터를 안전하게 다루는 방법을 함께 살펴보죠! 🚀📌 포인터의 기초: *와 & 연산자 이해하기━━━━━━━━━━━━━━━━━━━━━━━━🔸 포인터 선언과 사용```cint number = 42;int *ptr = &number; // number의 주소를 ptr에 저장printf("값: %d, 주소: %p\n", *ptr, ptr);```🔸 실제 활용 예시```cvoid swap(int *a, int *b) { int temp = *a; *a = *b; *b ..
러시아-우크라이나 사이버전: 개발자가 알아야 할 기술적 인사이트
🔐 러시아-우크라이나 사이버전: 개발자가 알아야 할 기술적 인사이트 안녕하세요, 개발자 여러분! 오늘은 현대전의 새로운 전장인 사이버 공간에서 벌어지고 있는 러시아-우크라이나 전쟁의 기술적 측면을 심도 있게 살펴보겠습니다. 🎯 들어가며 현대전은 더 이상 물리적 전장에만 국한되지 않습니다. 코드와 네트워크가 무기가 되는 시대, 개발자들은 이 새로운 전장의 최전선에 서 있습니다. 💻 주요 공격 벡터 분석 1. Supply Chain Attack - NPM 패키지 감염 사례 증가 - 오픈소스 의존성 공격 예시 코드:```javascript// 감염된 NPM 패키지 예시const innocentPackage = require('compromised-package');// 악성 코드 실행innocentP..
