아임노드

ClientSide: XSS  中 Cross Site Scripting (XSS)클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행하는 취약점XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다. 공격자는 자바스크립트를 통해 이용자에게 보여지는 웹 페이지를 조작하거나, 웹 브라우저의 위치를 임의의 주소로 변경할 수 있다.  워게임 xss-1 문제풀이 완료!  문제풀이 순서)1. 문제로 받은 파이썬 파일 실행하기2. 주요 함수 (check_xss(), index(), vuln(), flag(), memo() 확인)3. 생성 서버 훑어보기 4. 각 페이지에 주소 부분 확인하기 (취약점 확인)  5. XSS 공격 스크립트를 flag ..

OverTheWire BanditLevel 29 -> Level 30  목표 : git branch를 확인하여 패스워드 파일 찾기 git branch 확인특정 branch로 전환하여 내용 확인 풀이 방법  1. bandit29 서버 접속ssh bandit29@bandit.labs.overthewire.org -p 2220  2. 이전과 동일하게 git clone 실행git clone 방식부터 파일을 읽는 부분까지 동일하므로 이전 포스팅을 참고해 그대로 진행한다. Level 28 문제풀이 (+git clone)" data-og-description="OverTheWire BanditLevel 27 -> Level 28  목표 : Git 리포지토리를 클론하고, 리포지토리 내에 저장된 패스워드를 찾기 쓰기 권..

크리스마스 이브내일 쉰다! 일은 하지만..  Dreamhack 학습 내용 설명이 이해하기 쉽게 잘 되어 있다.해킹, 보안 공부하시는 분들께 추천! > 오늘의 Dreamhack 공부 기록 Cookie & Session" data-og-description="Background: Cookie & Session  中 클라이언트의 인증 정보를 포함하고 있는 Cookie와 SessionHTTP 프로토콜 특징Connectionless : 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것Stateless : 통신이 끝난 후 " data-og-host="imnode.tistory.com" data-og-source-url="https://imnode.tistory.com/144" data-og-url="http..

OverTheWire BanditLevel 28 -> Level 29  목표 : git 명령어를 통해 변경사항을 확인하여 패스워드 찾기git 리포지토리로 이동git log 확인git commit 세부사항 확인 풀이 방법  1. bandit28 서버 접속ssh bandit28@bandit.labs.overthewire.org -p 2220  2. 이전 레벨과 동일하게 진행이전 포스팅에서 진행했던 내용 4번 즉, README 파일을 읽는 부분까지 그대로 진행한다. Level 28 문제풀이 (+git clone)" data-og-description="OverTheWire BanditLevel 27 -> Level 28  목표 : Git 리포지토리를 클론하고, 리포지토리 내에 저장된 패스워드를 찾기 쓰기 권한..

Background: Cookie & Session  中 클라이언트의 인증 정보를 포함하고 있는 Cookie와 SessionHTTP 프로토콜 특징Connectionless : 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것Stateless : 통신이 끝난 후 상태 정보를 저장하지 않는 것-> 이러한 특성 때문에 HTTP 상태를 유지하기 위한 쿠키(Cookie) 탄생 쿠키는 Key와 Value로 이뤄진 일종의 단위로,서버가 클라이언트에게 쿠키를 발급하면, 클라이언트는 서버에 요청을 보낼 때마다 쿠키를 같이 전송한다.서버는 클라이언트의 요청에 포함된 쿠키를 확인해 클라이언트를 구분할 수 있다. 쿠키는 클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용  쿠키 변조악의적인 클라이언트는 쿠키 ..

시간이 정말 빠르다..벌써 크리스마스고 정말로 연말.이번 주엔 주변 사람들에게 이것저것 많이 받아서 감사한 한 주였다.취업하면 꼭 더 크게 보답해야지. 그리고 이전에 공부에 대한 불안과 걱정, 기분도 침울해있었는데하루정도 생각할 시간을 갖고 난 후 상태가 많이 좋아졌다. 길다면 긴 시간동안 하는 공부이니만큼 주기적으로 나를 되돌아보고다짐을 새기는 시간을 갖는 것이 중요할 것 같다.   > 오늘의 Dreamhack 공부 기록  Background - Web" data-og-description="웹 기본상식_web 中인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스를 웹이라고 한다.여기서 정보를 제공하는 주체를 웹 서버(Web Server), 정보를 받는 이용자를 웹 클" da..

OverTheWire BanditLevel 27 -> Level 28  목표 : Git 리포지토리를 클론하고, 리포지토리 내에 저장된 패스워드를 찾기 쓰기 권한이 가능한 디렉토리 생성git 리포지토리 클론repo 파일 확인 풀이 방법  1. bandit27 서버 접속ssh bandit27@bandit.labs.overthewire.org -p 2220  2. git clone 전에 쓰기 권한이 가능한 디렉토리 생성접속하자마자 git clone을 하게 되면'fatal: could not create work tree dir 'repo': Permission denied'이와 같은 메시지를 마주할 수 있다. 확인해보니 root 사용자 계정은 w(쓰기)권한이 없다. 권한을 부여하려고 하니 권한 변경도 막혀있다..

Background: web 中인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스를 웹이라고 한다.여기서 정보를 제공하는 주체를 웹 서버(Web Server), 정보를 받는 이용자를 웹 클라이언트(Web Client)라고 한다.  Background: HTTP/HTTPS 中 HTTP(HyperText Transfer Protocol)웹 서버와 클라이언트가 리소스를 교환하기 위해 사용하는 프로토콜클라이언트가 요청하면, 서버가 응답하는 방식HTTP 메시지HTTP 서버와 클라이언트가 교환하는 데이터헤드와 바디로 구성되며, 각 줄은 CRLF로 구분됨HTTP 요청(Request)클라이언트가 -> 서버에게 특정 동작을 요청하는 메시지HTTP 응답(Response)요청을 처리한 결과 및 이..

OverTheWire BanditLevel 26 -> Level 27  목표 : bandit26 쉘에 접근한 상태에서 bandit27 패스워드 찾기 특정 파일 확인 후 패스워드 출력 풀이 방법  1. bandit26 서버 접속이번 문제는 bandit 25->26에 이어서 진행되므로 접속 방법은 아래 포스팅을 참고하자. Level 26 문제풀이 (+more)" data-og-description="OverTheWire BanditLevel 25 -> Level 26  목표 : /usr/bin/showtext의 동작을 확인하고 패스워드 얻기 특정 파일의 동작을 분석하여 접속 시도more 명령어에 대한 이해 풀이 방법  1. bandit25 서버 접속ssh bandit25@" data-og-host="imno..

OverTheWire BanditLevel 25 -> Level 26  목표 : /usr/bin/showtext의 동작을 확인하고 패스워드 얻기 특정 파일의 동작을 분석하여 접속 시도more 명령어에 대한 이해 풀이 방법  1. bandit25 서버 접속ssh bandit25@bandit.labs.overthewire.org -p 2220  2. bandit25 sshkey로 접속로그인 후에 파일을 살펴보면 bandit26 sshkey를 확인할 수 있다.sshkey를 bandit26에 접속할 수 있을 것 같다. sshkey를 통해 접속을 해보자.ssh -i bandit26.sshkey bandit26@localhost -p 2220그러나 접속이 바로 closed된다.  3. bandit26 셸 확인이제 ..