TigerDemon

https://webhacking.kr/challenge/web-03/ Challenge 3 webhacking.kr문제를 들어가보면 아래 사진처럼 뜹니다. 따라서 문제를 풀어주었습니다. Solved 버튼을 누르면 아래 처럼 뜹니다. 입력을 했을때 name, answer, ip가 뜹니다.개발자 도구로 들어가 코드를 확인해보면 아래처럼 뜹니다.이때 input type="hidden"의 의미는 중요한 정보를 안전하게 유지하는 역할을 합니다.웹사이트 보안을 개선하기 위해 보안 토큰 또는 secret을 저장하고 제출하는 데에 사용된다. 따라서 해당 value 부분에 sql injection을 해본다. 1' or 1=1-- " 로 바꿔서 입력하고 submit을 하니 문제가 해결됐다.

pe_parser_project로 들어가서 cmd 열고 아래 명령어를 입력해 가상환경을 활성화시켜준다. venv\Scripts\activate.bat 1. 흔적 생성기 만들기 - sim_keylogger_writer.pype_parser_project 폴더 내에 sim_keylogger_writer.py 파일을 생성하고 아래 코드를 적어준다.# sim_keylogger_writer.py# 안전 시뮬레이터: 키로깅 "흔적" 텍스트 파일 여러 개 생성 + 압축/인코딩 모사import os, base64, zipfilefrom datetime import datetimeoutdir = os.path.join(os.getcwd(), "sim_logs")os.makedirs(outdir, exist_ok=True..

https://portswigger.net/web-security/csrf/bypassing-token-validation/lab-token-validation-depends-on-token-being-present Web Application Security, Testing, & Scanning - PortSwiggerPortSwigger offers tools for web application security, testing, & scanning. Choose from a range of security tools, & identify the very latest vulnerabilities.portswigger.net ACCESS THE LAB으로 들어가서 주어진 정보로 로그인을 하고 이메일을 바..

https://portswigger.net/web-security/csrf/bypassing-token-validation/lab-token-validation-depends-on-request-method Web Application Security, Testing, & Scanning - PortSwiggerPortSwigger offers tools for web application security, testing, & scanning. Choose from a range of security tools, & identify the very latest vulnerabilities.portswigger.net 위 사진처럼 뜬다. ACCESS THE LAB을 들어가면 아래 사진처럼 뜬다. 바로 제공..

CSRF(Cross-site request forgery) 정의 //사이트 간 요청 위조공격자가 사용자가 의도하지 않은 작업을 수행하도록 유도할 수 있는 웹 보안 취약점공격자는 피해자의 브라우저를 이용해 인증된 세션 쿠키를 자동으로 전송하게 만들어서 피해자 대신 요청을 실행시킨다.공격자의 링크를 피해자가 클릭하면 로그인된 상태의 세션이 이용되어 이메일 주소가 공격자 계정으로 변경될 수 있다.CSRF가 작동하는 조건중요한 행동- 공격자가 유도할만한 행동이 있어야함ex) 비밀번호/이메일 변경피해자가 애플리케이션 내에서 특권 역할을 가지고 있다면 공격자가 데이터와 기능을 제어할 수 있게됨 쿠키 기반 세션- 사용자 식별 정보(인증)를 *쿠키에 담긴 **세션ID 하나에만 의존하는 방식*쿠키 : 서버가 사용자의 ..

1차 분석 : pe_parser.py 추가된 파일추가된 파일 코드 2차 분석 : analyze_deep.py 추가된 파일 파일명의미deep_report.md전체 분석 요약sections.txt프로그램 안에 들어있는 섹션 목록 - 비정상 섹션 이름 있는지 확인fothk_strings.txtfothk 섹션 안에서 뽑은 글자들 - 이상한 문자열 찾기imports.json프로그램이 어떤 함수(API) 쓰는지 리스트 - 위험 API 확인notepad_fothk_dump.binfothk 섹션 그자체 - 실행 금지sha256.txt파일 고유 지문 - 평판 조회시 사용 deep_report.md # Deep Static Analysis Report: notepad- path: C:\Windows\System32\not..

https://scienceon.kisti.re.kr/srch/selectPORSrchArticle.do?cn=JAKO201302255801904 [논문]네트워크 CCTV와 스마트 단말기를 연동한 이동체 추적 시스템본 논문에서는 네트워크 CCTV와 스마트 단말기를 연동한 이동체 추적 시스템을 소개한다. 긴급 상황 발생 시 신고자의 단말기는 GPS 위치 정보를 획득하고 이를 중앙 서버로 전송한다. 중앙 서버scienceon.kisti.re.kr 서론 범죄를 예방하기 위해 네트워크 CCTV를 설치하였지만 소수 인원이기에 실시간 감시가 어려워져 CCTV는 범죄 예방보다 범죄 발생 후 대처용으로 사용되고 있다. 최근 스마트 단말기는 GPS 송수신기를 내장하고 LBS( Location Based Services..

https://portswigger.net/web-security/authentication/other-mechanisms/lab-password-reset-broken-logic Web Application Security, Testing, & Scanning - PortSwiggerPortSwigger offers tools for web application security, testing, & scanning. Choose from a range of security tools, & identify the very latest vulnerabilities.portswigger.net 위 링크로 들어가면 아래와 같은 화면이 뜬다. ACCESS THE LAB을 누르면 아래와 같이 블로그 창이 뜬다. ..