본문 바로가기

윈아

Notice

Link

Calendar

Archives

Visits

Today

Yesterday

드림핵

[Dreamhack] 1단계 - xss-2

보안/웹해킹 2023. 5. 24. [Dreamhack] 1단계 - xss-2 해당 실습은 Dreamhack에서 제공되는 가상환경에서 진행되었습니다. 사전 동의 없는 불법 침입, 수색, 분석 등의 행위는 불법이니 꼭 명심하시길 바랍니다. 앞에서는 로드맵에서 기본저인 힌트를 주고 풀이까지 존재하기에 어렵지 않게 넘어갈 수 있었다. 2번 문제는 1번 문제에서 약간의 응용을 요구하는 문제인 것 같다. Step 1) Stage 4의 '혼자실습'에 설명이 포함되어 있는 문제이다. Step 2) 접속 정보를 받아 접속해보면 확인할 수 있는 각 페이지들은 다음과 같다. 다운로드한 문제 파일을 열어 소스코드와 같이 확인해 보면 동작한 결과를 이해할 수 있다. (이번 문제에서는 vuln 페이지의 동작 결과가 다름) ① 메인 페이지에 해당하는 코드 ② vuln(xss) 페이지에 해당하는 코드. 앞선..

[Dreamhack] 1단계 - xss-1

보안/웹해킹 2023. 5. 22. [Dreamhack] 1단계 - xss-1 해당 실습은 Dreamhack에서 제공되는 가상환경에서 진행되었습니다. 사전 동의 없는 불법 침입, 수색, 분석 등의 행위는 불법이니 꼭 명심하시길 바랍니다. 이번 실습은 단편적인 예시지만, 실제로는 다양한 방법으로 발생할 수 있는 취약점이다. 풀이는 개인이 이해한 내용으로 작성하였기에 잘못된 부분이 있다면 지적 부탁드립니다. Step 1) Stage 4의 '함께실습'에 설명이 포함되어 있는 문제이다. Step 2) 접속 정보를 받아 접속해보면 확인할 수 있는 각 페이지들은 다음과 같다. 다운로드한 문제 파일을 열어 소스코드와 같이 확인해 보면 동작한 결과를 이해할 수 있다. ① 메인 페이지에 해당하는 코드. 설명이 굳이 필요 없을 듯하다. ② vuln(xss) 페이지에 해당하는 코드. param 인자를..

[Dreamhack] 1단계 - session-basic

보안/웹해킹 2023. 5. 16. [Dreamhack] 1단계 - session-basic 해당 실습은 Dreamhack에서 제공되는 가상환경에서 진행되었습니다. 사전 동의 없는 불법 침입, 수색, 분석 등의 행위는 불법이니 꼭 명심하시길 바랍니다. 로드뷰를 따라 진행하다 보니 순서가 조금 꼬였지만, session-basic 문제의 다음 문제가 cookie 문제이니 참고하면 될 것 같다. Step 1) Lecture Stage 3에서 쿠키&세션과 관련된 문제이다. Step 2) '접속 정보 보기'를 누르면 나오는 실습 페이지의 메인 화면이다. Step 3) 다운받은 문제파일의 소스 코드에서 확인할 수 있는 계정 정보이다. guest와 user는 접속이 가능하나, 문제에서 원하는 admin 계정이 아니기 때문에 아무런 소득이 없다. Step 4) guest와 user를 로그인하여 얻은 sessi..

[Dreamhack] 1단계 - devtools-sources

보안/웹해킹 2023. 5. 16. [Dreamhack] 1단계 - devtools-sources 해당 실습은 Dreamhack에서 제공되는 가상환경에서 진행되었습니다. 사전 동의 없는 불법 침입, 수색, 분석 등의 행위는 불법이니 꼭 명심하시길 바랍니다. cookie 관련 글 작성 시, Featured의 초심자 추천으로 시작했었는데 이것보단 상위 탭의 Lecture의 로드맵을 따라 진행하는 것이 더 순조로워서 경로를 변경 Step 1) Lecture의 Stage 2에서 웹브라우저와 관련된 문제이다. Step 2) 다운로드한 문제파일의 압축을 풀어보면 다음과 같다. html 파일이 4개나 들어있지만 아무거나 열어도 상관없다. Step 3) 앞의 순서대로 강의를 들었다면 '개발자 도구'를 활용하는 법에 대해 배웠을 것이다. 그것을 활용하여 Souces에서 찾아볼 수도 있지만, Search에서 검색하면 ..

[Dreamhack] 1단계 - cookie

보안/웹해킹 2023. 5. 8. [Dreamhack] 1단계 - cookie 해당 실습은 Dreamhack에서 제공되는 가상환경에서 진행되었습니다. 사전 동의 없는 불법 침입, 수색, 분석 등의 행위는 불법이니 꼭 명심하시길 바랍니다. 버그바운티 홈페이지를 찾아다니다가 알게 된 Patchday와 연계된 'DreamHack'이란 사이트를 접했다. 단계별로 차근차근 풀어볼 수 있도록 문제정리가 잘 되어있었다. 막무가내로 쌓아올린 지식도 정리할 겸 한 문제씩 글로 남겨보려고 한다. 1. 로그인을 하고 Wargame의 Featured로 가보면 초심자 추천으로 되어 있는 문제들이 있다. 그 중 'cookie'를 클릭하면 아래와 같이 문제에 대한 정보와 실습 홈페이지를 제공해 준다. 이번 문제는 쿠키 값으로 인증 상태를 관리하는 경우에 admin 계정으로 로그인해야 하는 문제다. 2. 제공..

이전 1 다음

티스토리툴바