아임노드

ClientSide: CSRF  中 Cross Site Request Forgery (CSRF)사이트 간 요청 위조이용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격 쉽게 말해 '사용자가 모르는 사이에 특정 동작을 실행시키도록 유도하는 방법'XSS와 CSRF의 차이공통점 모두 클라이언트를 대상으로 하는 공격 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도 차이점 XSS는 인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격(공격할 사이트의 오리진에서 스크립트를 실행) CSRF는 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격 ( 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행할 ..

OverTheWire BanditLevel 30 -> Level 31  목표 : git 저장소에서 사용 가능한 참조(reference)를 통해 패스워드 찾기 git 참조(reference) 확인하기git tag 목록 확인하기 풀이 방법  1. bandit30 서버 접속ssh bandit30@bandit.labs.overthewire.org -p 2220  2. 접속 및 git clone 부분 동일하게 참고 Level 28 문제풀이 (+git clone)" data-og-description="OverTheWire BanditLevel 27 -> Level 28  목표 : Git 리포지토리를 클론하고, 리포지토리 내에 저장된 패스워드를 찾기 쓰기 권한이 가능한 디렉토리 생성git 리포지토리 클론repo 파..

크리스마스라고 해서 딱히 무언가를 특별하게 한 것은 없다.밀린 잠을 좀 더 잤던 것 같다.아 그리고 영화를 한 편 봤는데 너무너무 재미가 없었다.너무 재미가 없어서 오히려 영화가 웃겨지는 재밌는 상황  > 오늘의 Dreamhack 공부 기록모든 처음은 당연히 어렵다.아좌아좌 Cross-Site Scripting (XSS)" data-og-description="ClientSide: XSS  中 Cross Site Scripting (XSS)클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행하는 취약점XSS 공격은 이용자가 " data-og-host="imnode.tistory.com" data-og-source-url="https://im..

ClientSide: XSS  中 Cross Site Scripting (XSS)클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행하는 취약점XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다. 공격자는 자바스크립트를 통해 이용자에게 보여지는 웹 페이지를 조작하거나, 웹 브라우저의 위치를 임의의 주소로 변경할 수 있다.  워게임 xss-1 문제풀이 완료!  문제풀이 순서)1. 문제로 받은 파이썬 파일 실행하기2. 주요 함수 (check_xss(), index(), vuln(), flag(), memo() 확인)3. 생성 서버 훑어보기 4. 각 페이지에 주소 부분 확인하기 (취약점 확인)  5. XSS 공격 스크립트를 flag ..

OverTheWire BanditLevel 29 -> Level 30  목표 : git branch를 확인하여 패스워드 파일 찾기 git branch 확인특정 branch로 전환하여 내용 확인 풀이 방법  1. bandit29 서버 접속ssh bandit29@bandit.labs.overthewire.org -p 2220  2. 이전과 동일하게 git clone 실행git clone 방식부터 파일을 읽는 부분까지 동일하므로 이전 포스팅을 참고해 그대로 진행한다. Level 28 문제풀이 (+git clone)" data-og-description="OverTheWire BanditLevel 27 -> Level 28  목표 : Git 리포지토리를 클론하고, 리포지토리 내에 저장된 패스워드를 찾기 쓰기 권..

크리스마스 이브내일 쉰다! 일은 하지만..  Dreamhack 학습 내용 설명이 이해하기 쉽게 잘 되어 있다.해킹, 보안 공부하시는 분들께 추천! > 오늘의 Dreamhack 공부 기록 Cookie & Session" data-og-description="Background: Cookie & Session  中 클라이언트의 인증 정보를 포함하고 있는 Cookie와 SessionHTTP 프로토콜 특징Connectionless : 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것Stateless : 통신이 끝난 후 " data-og-host="imnode.tistory.com" data-og-source-url="https://imnode.tistory.com/144" data-og-url="http..

OverTheWire BanditLevel 28 -> Level 29  목표 : git 명령어를 통해 변경사항을 확인하여 패스워드 찾기git 리포지토리로 이동git log 확인git commit 세부사항 확인 풀이 방법  1. bandit28 서버 접속ssh bandit28@bandit.labs.overthewire.org -p 2220  2. 이전 레벨과 동일하게 진행이전 포스팅에서 진행했던 내용 4번 즉, README 파일을 읽는 부분까지 그대로 진행한다. Level 28 문제풀이 (+git clone)" data-og-description="OverTheWire BanditLevel 27 -> Level 28  목표 : Git 리포지토리를 클론하고, 리포지토리 내에 저장된 패스워드를 찾기 쓰기 권한..

Background: Cookie & Session  中 클라이언트의 인증 정보를 포함하고 있는 Cookie와 SessionHTTP 프로토콜 특징Connectionless : 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것Stateless : 통신이 끝난 후 상태 정보를 저장하지 않는 것-> 이러한 특성 때문에 HTTP 상태를 유지하기 위한 쿠키(Cookie) 탄생 쿠키는 Key와 Value로 이뤄진 일종의 단위로,서버가 클라이언트에게 쿠키를 발급하면, 클라이언트는 서버에 요청을 보낼 때마다 쿠키를 같이 전송한다.서버는 클라이언트의 요청에 포함된 쿠키를 확인해 클라이언트를 구분할 수 있다. 쿠키는 클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용  쿠키 변조악의적인 클라이언트는 쿠키 ..

시간이 정말 빠르다..벌써 크리스마스고 정말로 연말.이번 주엔 주변 사람들에게 이것저것 많이 받아서 감사한 한 주였다.취업하면 꼭 더 크게 보답해야지. 그리고 이전에 공부에 대한 불안과 걱정, 기분도 침울해있었는데하루정도 생각할 시간을 갖고 난 후 상태가 많이 좋아졌다. 길다면 긴 시간동안 하는 공부이니만큼 주기적으로 나를 되돌아보고다짐을 새기는 시간을 갖는 것이 중요할 것 같다.   > 오늘의 Dreamhack 공부 기록  Background - Web" data-og-description="웹 기본상식_web 中인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스를 웹이라고 한다.여기서 정보를 제공하는 주체를 웹 서버(Web Server), 정보를 받는 이용자를 웹 클" da..

OverTheWire BanditLevel 27 -> Level 28  목표 : Git 리포지토리를 클론하고, 리포지토리 내에 저장된 패스워드를 찾기 쓰기 권한이 가능한 디렉토리 생성git 리포지토리 클론repo 파일 확인 풀이 방법  1. bandit27 서버 접속ssh bandit27@bandit.labs.overthewire.org -p 2220  2. git clone 전에 쓰기 권한이 가능한 디렉토리 생성접속하자마자 git clone을 하게 되면'fatal: could not create work tree dir 'repo': Permission denied'이와 같은 메시지를 마주할 수 있다. 확인해보니 root 사용자 계정은 w(쓰기)권한이 없다. 권한을 부여하려고 하니 권한 변경도 막혀있다..