분류 전체보기 (56) 썸네일형 리스트형 [드림핵] simple_sqli - web simple_sqli | 워게임 | Dreamhack 로그인 | Dreamhack dreamhack.io userid: adminpassword: admin 으로 해봄 코드를 보면res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')이 부분은 Python에서 SQL 인젝션 취약점이 생기는 대표적인 예 라고 함.-> 누구나 admin으로 로그인 가능하다는 거 이 코드에서 값은 "(큰따옴표)로 감싸여 있으니, 공격자가 userid에 admin"--이라고 넣을 수 있음. 비번은 암거나 하면 끝. 점프 투 장고 2-4 ~ 2-7 2-4. 질문 목록과 질문 상세 기능 구현하기실습1. 질문 목록 조회 구현하기 실습2. 질문 상세 기능 구현하기 실습3. 오류 화면 구현하기 2-5. URL 더 똑똑하게 사용하기 실습. URL 네임스페이스 알아보기 2-6. 답변 등록 기능 만들기실습1. 답변 저장하고 표시하기 2-7 화면 예쁘게 꾸미기실습1. 웹 페이지에 스타일시트 적용하기->텍스트 창 넓어짐. [웹 개발자를 위한 웹 보안]7장~9장 7장. 크로스 사이트 스크립팅 공격 1. HTTP와 웹 보안 — 안전한 웹 통신의 기본웹 브라우저는 사용자가 입력한 주소를 바탕으로 서버에 요청을 보내고, 서버는 이에 대한 응답을 돌려준다.이 과정을 HTTP 통신이라고 한다.하지만 HTTP는 기본적으로 암호화되지 않은 평문 통신이기 때문에, 제3자가 중간에서 내용을 가로채면 전송된 데이터가 그대로 노출될 수 있다.로그인 정보나 개인정보가 포함된 요청이라면 매우 위험하다. 2. HTTPS의 필요성이러한 문제를 해결하기 위해 HTTPS가 등장했다.HTTPS는 HTTP에 SSL/TLS 암호화 계층을 추가한 통신 방식으로, 서버와 클라이언트 간의 데이터가 암호화되어 전송된다.이를 통해 도청이나 변조, 중간자 공격 등의 위협을 방지할 수 있다.현재 대부분의 웹사.. 점프 투 장고 2-1 ~ 2-3 2-1. 주소롸 화면을 연결하는 URL과 뷰 앱 생성 파이보 서비스에 필요한 pybo 앱 D:\>cd D:\projects\mysiteD:\projects\mysite>D:\venvs\mysite\Scripts\activate 파이보 D:\projects\mysite>python manage.py runserver 2-2. 데이터를 관리하는 모델자세히 볼 필요는X, 장고는 테이블 작업을 위한 쿼리문을 알아서 수행해주기 때문 실습. 모델만들기 D:\projects\mysite>python manage.py migrate D:\projects\mysite>python manage.py makemigration 실습. 데이터 만들고 저장하고 조회하기 실습.데이터 수정하기 실습. 데이터 삭제하.. XSS 취약점 문제 추가 공부 XSS (Cross-Site Scripting)정의:웹사이트가 사용자 입력을 제대로 필터링하지 않고 HTML에 그대로 삽입할 때,공격자가 악성 스크립트를 실행시킬 수 있는 취약점. 풀이 핵심 /vuln?param=... → param을 그대로 리턴(필터 없음) → XSS 가능/flag → POST로 입력받아 내부 함수 check_xss()를 통해 봇을 실행read_url()(봇 동작):헤드리스 크롬을 띄움driver.add_cookie({"name":"flag","value":FLAG,"domain":"127.0.0.1"})로 쿠키를 넣음driver.get(url)로 네가 준 URL을 방문해서 JS를 실행함/memo?memo=... → 전달된 memo 값을 화면에 저장/표시(공개) 추가 실습.. R.. [드림핵] xss1 - web xss-1 | 워게임 | Dreamhack xss-1여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.플래그 형식은 DH{...} 입니다.문제 수정 내역202dreamhack.io일단, 문제에서 알아야 하는 건1. 사용자가 입력한 URL을 봇(bot) 이 방문한다.2. 봇은 flag.txt 내용을 FLAG 변수에 저장하고 있다.3. 봇이 상대의 악성 스크립트를 실행하게 만들면, FLAG를 상대의 서버로 전송시킬 수 있다. 문제 사이트에 들어가 봄.페이지 3개가 있음. (1) vuln(xss) page 에 들어감 1을 hihi 이런식으로 바꿔보면이렇게 script가 들어간 파라미터를 그대.. [IGLOO] 사이버 공격이 현실을 멈추는 시대 사이버 공격이 현실을 멈추는 시대 - Security & Intelligence 이글루코퍼레이션 사이버 공격이 현실을 멈추는 시대💌 후속 콘텐츠, 계속 받아보세요 ▶ 스스로 차선을 변경하고 장애물을 피하는 자율주행차, 로봇이 정밀하게 부품을 조립하고 생산공정을 최적화하는 스마트팩토리, 전력 수요를 예측해 공급www.igloo.co.kr 디지털 전환 시대, 현실과 가상이 연결되다자율주행차, 스마트팩토리, 스마트그리드, 원격 의료로봇 등의 이 모든 기술의 중심에는 사이버 물리 시스템(CPS, Cyber-Physical System)이 있습니다. CPS는 현실의 물리 세계(OT)와 디지털 세계(IT)를 통합해 센서가 데이터를 수집하고, 소프트웨어가 이를 분석·제어해 실시간으로 시스템이 반응하도록 만드는 기술.. [웹 보안] 웹 개발자를 위한 웹 보안 6장. 인젝션 공격 인젝션 공격: 공격자가 애플리케이션에 외부 코드를 주입해 애플리케이션을 통제하거나 민감한 정보를 읽으려고 발생시키는 동작. 웹사이트 인젝션 공격의 기초 - 해커들이 종종 HTTP 요청에 악의적인 코드를 전달해 서버가 코드를 실행하도록 유도하는 것. 인젝션 공격에는 4가지 유형이 있음.1. SQL 인젝션 공격: 기본 SQL 데이터베이스를 사용하며 데이터 쿼리를 불안정한 방식으로 구성하고 있는 웹사이트를 대상으로 함(SQL 데이터베이스가 흔해서 웹사이트의 가장 큰 위험 요소) - SQL: 관계형 데이터베이스에서 데이터 및 데이터 구조를 추출함. 관계형 데이터베이스: 데이터를 테이블에 저장테이블의 각 행: 데이터 항목 - SQL 구문INSERT 문: 데이터베이스에 행 추가SELECT 문: 행 읽기UPDATE.. [Theori] Theori의 사이버 보안 솔루션으로 기업 자산을 보호하는 4가지 방법 Four Ways to Protect Your Legacy with Theori’s Cybersecurity Solutions - Theori BLOG Four Ways to Protect Your Legacy with Theori’s Cybersecurity Solutions - Theori BLOGDiscover the top cybersecurity threats for 2025 and how Theori's innovative solutions can safeguard your business from evolving cyber risks and costly data breaches. | Web2 Securitytheori.io 디지털 전환이 가속화되면서 사이버 공격은 점점 더 정교해지고 있다. .. [워게임] session-basic 관련 내용 "쿠키와 세션", "주소창과 DevTools" 먼저, 웹 인증에서 가장 중요한 개념 두 가지 쿠키와 세션을 정리해 보았다. 쿠키쿠키(cookie): 브라우저에 저장되는 작은 조각의 데이터(클라이언트 측 저장소)-> 서버(또는 JS)가 브라우저에 저장하도록 지시하는 작은 키=값 쌍.Set-Cookie 응답 헤더로 설정.이후 요청마다 브라우저가 Cookie 헤더로 서버에 보냄. 세션세션(session): 서버가 사용자를 구분하기 위해 관리하는 상태-> 서버가 사용자별로 유지하는 정보(예: 로그인 상태, 권한 등).보통은 서버가 세션 ID를 발급하고 그 ID를 쿠키로 클라이언트에 줌.서버는 그 ID로 내부 세션 저장소에서 사용자 상태를 조회. -- 보안 관점에서는 세션 아이디(쿠키에 담길 때가 많음)가 임시 비밀번호 라는 걸 알아야 한다. 취약점/.. 이전 1 2 3 4 5 6 다음
