아임노드

주말 중 하루, 4년 넘게 들어왔던 라디오 연말 공개 녹화에 참석했다.참가자이자 스태프로서 처음과 마무리를 패널들과 함께 했다.두시간 밖에 잠을 못자서 피곤한 상태였지만 그들과 함께 있으니현장에 있는 동안 피로감은 전혀 느껴지지 않았다.주말의 하루를 온통 써야 했지만 이런 이벤트 덕에 다음 날들을더 힘차게 나아갈 수 있는 것 같다. 주말동안 dreamhack의 web hacking > serverside 부분을 빠르게 읽고 마쳤다.하고싶은게 생겨서이다. 남은 휴일을 그 공부에 집중해보고 싶었다.> 오늘의 Dreamhack 공부 기록 Command Injection, File Vulnerability, SSRF" data-ke-align="alignCenter" data-og-description="Se..

ServerSide: Command Injection  中 인젝션(Injection) 악의적인 데이터를 프로그램에 입력하여 이를 시스템 명령어, 코드, 데이터베이스 쿼리 등으로 실행되게 하는 기법 이용자의 입력을 시스템 명령어로 실행하게 하는 취약점을 Command Injection이라고 부른다. Command Injection이용자의 입력을 적절한 검사 없이 명령어로 사용할 때 발생하는 취약점 시스템 함수는 셸 프로그램에 명령어를 전달하여 실행하는데, 셸 프로그램은 다양한 메타 문자를 지원((&&, ;, | 등)이러한 메타 문자는 여러 개의 명령어를 연속으로 실행시킬 수 있다. 따라서 공격자는 메타 문자를 통해 임의 명령어를 실행하여 셸을 획득할 수 있다. 이러한 취약점을 막으려면 개발자는 입력 ..

OverTheWire BanditLevel 32 -> Level 33(24.12.28일 기준 overthewire bandit 최종 문제) 목표 : UPPERCASE WORLD 탈출  UPPERCASE SHELL에서 탈출하기 풀이 방법  1. bandit32 서버 접속ssh bandit32@bandit.labs.overthewire.org -p 2220  2. UPPERCASE SHELL 탈출하기제시된 문제는 단순하다.git에 대한 작업이 끝났다고 하는 것 보니 이번에는 git과 관련된 명령어 문제는 아닌 것 같다. git 문제가 아니라는 것은 bandit33에 접속하자마자 알 수 있었다. 몇 번 시도해보면 어떤 문자열을 입력해도 모두 대문자로 변경된 다는 것을 알 수 있다.문제에서 말한 'another..

bandit문제가 앞으로 마지막 한 문제가 남았고bandit을 대신해 다시 조금씩이라도 꾸준히 해야 할 무언가를 생각해보았다.물론 bandit 문제도 다시 처음부터 풀어봐야 하고 Dreamhack도 있지만조금 더 내가 관심있는 무언가를 추가로 하고 싶었다.  > 오늘의 Dreamhack 공부 기록 SQL Injection" data-ke-align="alignCenter" data-og-description="SQL Injection  中 DataBase Management System (DBMS) 웹 서비스는 데이터베이스에 정보를 저장하고, 이를 관리하기 위해 DBMS 사용DBMS는 데이터베이스에 새로운 정보를 기록하거나, 기록된 내용을 수정, 삭제" data-og-host="imnode.tistor..

SQL Injection  中 DataBase Management System (DBMS) 웹 서비스는 데이터베이스에 정보를 저장하고, 이를 관리하기 위해 DBMS 사용DBMS는 데이터베이스에 새로운 정보를 기록하거나, 기록된 내용을 수정, 삭제하는 역할특징 다수의 사람이 동시에 데이터베이스에 접근 가능 서비스의 검색 기능과 같이 복잡한 요구사항을 만족하는 데이터를 조회 가능관계형(Relational) vs 비관계형(Non-Relational) 관계형은 행과 열의 집합인 테이블 형식으로 데이터를 저장 비관계형은 테이블 형식이 아닌 키-값 (Key-Value) 형태로 값을 저장 SQL InjectionSQLRDBMS의 데이터를 정의하고 질의, 수정 등을 하기 위해 고안된 언어 SQL Injection사..

OverTheWire BanditLevel 31 -> Level 32  목표 : git 변경 사항 올리기(push) git 파일/commit 생성 및 변경사항 올리기(push) 풀이 방법  1. bandit31 서버 접속ssh bandit31@bandit.labs.overthewire.org -p 2220  2. 접속 및 git clone 부분 동일하게 참고 이번에도 cat README.md까지 동일한 단계로 진행.. Level 28 문제풀이 (+git clone)" data-og-description="OverTheWire BanditLevel 27 -> Level 28  목표 : Git 리포지토리를 클론하고, 리포지토리 내에 저장된 패스워드를 찾기 쓰기 권한이 가능한 디렉토리 생성git 리포지토리 클..

연말에 안타까운 소식을 여럿 들었다.나이가 들면서 주변에 이런 일들이 점차 많아지는 것 같아 마음이 좀 그렇다.무뎌질래야 무뎌지기 힘든 소식들. 하지만 그렇다고 계속 침울해할 순 없다!!연말연시에 반가운 약속들도 많으니까 나가서 사람들이랑 노닥거리면서 힘내자!  수업 중간에 트러블 슈팅하면서 실습시간을 가지고 있었는데강사님이 아마 오프라인으로 나왔던? 친분이 있는 학생들에게 장난치는 모습ㅎㅎ 강사님은 상대적으로 나이가 어려보이시는데 경력이 대단하신 것 같아 멋지고 부럽고 하다.  > 오늘의 Dreamhack 공부 기록 Cross Site Request Forgery (CSRF)" data-og-description="ClientSide: CSRF  中 Cross Site Request Forgery (..

ClientSide: CSRF  中 Cross Site Request Forgery (CSRF)사이트 간 요청 위조이용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격 쉽게 말해 '사용자가 모르는 사이에 특정 동작을 실행시키도록 유도하는 방법'XSS와 CSRF의 차이공통점 모두 클라이언트를 대상으로 하는 공격 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도 차이점 XSS는 인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격(공격할 사이트의 오리진에서 스크립트를 실행) CSRF는 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격 ( 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행할 ..

OverTheWire BanditLevel 30 -> Level 31  목표 : git 저장소에서 사용 가능한 참조(reference)를 통해 패스워드 찾기 git 참조(reference) 확인하기git tag 목록 확인하기 풀이 방법  1. bandit30 서버 접속ssh bandit30@bandit.labs.overthewire.org -p 2220  2. 접속 및 git clone 부분 동일하게 참고 Level 28 문제풀이 (+git clone)" data-og-description="OverTheWire BanditLevel 27 -> Level 28  목표 : Git 리포지토리를 클론하고, 리포지토리 내에 저장된 패스워드를 찾기 쓰기 권한이 가능한 디렉토리 생성git 리포지토리 클론repo 파..

크리스마스라고 해서 딱히 무언가를 특별하게 한 것은 없다.밀린 잠을 좀 더 잤던 것 같다.아 그리고 영화를 한 편 봤는데 너무너무 재미가 없었다.너무 재미가 없어서 오히려 영화가 웃겨지는 재밌는 상황  > 오늘의 Dreamhack 공부 기록모든 처음은 당연히 어렵다.아좌아좌 Cross-Site Scripting (XSS)" data-og-description="ClientSide: XSS  中 Cross Site Scripting (XSS)클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행하는 취약점XSS 공격은 이용자가 " data-og-host="imnode.tistory.com" data-og-source-url="https://im..