Dreamhack/Web Hacking (8) 썸네일형 리스트형 [Web Hacking] STAGE 9 보호되어 있는 글입니다. [Web Hacking] STAGE 8 보호되어 있는 글입니다. [Web Hacking] STAGE 7 보호되어 있는 글입니다. [Web Hacking] STAGE 6 STAGE 6 simple_sqli 이 문제는 로그인 서비스로 SQL INJECTION 취약점을 통해 플래그를 획득할 수 있다. 플래그는 flag.txt, FLAG 변수에 있다고 힌트를 주고 있음 문제 파일로 Python 파일이 주어졌다. #!/usr/bin/python3 from flask import Flask, request, render_template, g import sqlite3 import os import binascii app = Flask(__name__) app.secret_key = os.urandom(32) try: FLAG = open('./flag.txt', 'r').read() except: FLAG = '[**FLAG**]' DATABASE = "database.db" i.. [Web Hacking] STAGE 5 보호되어 있는 글입니다. [Web Hacking] STAGE 4 보호되어 있는 글입니다. [Web Hacking] STAGE 3 STAGE 3 1) Cookie & Session HTTP 프로토콜 특징 - Connectionless: 하나의 요청에 하나의 응답을 한 후 연결을 종료 - Stateless: 통신이 끝난 후 정보를 저장하지 않는 것- 위 두 가지 특성을 갖는 HTTP에서 상태를 유지하기 위해 쿠키 사용 쿠키 (Cookie) - Key와 Value로 이루어진 일종의 단위 - 서버가 클라이언트에게 쿠키를 발급하면 클라이언트는 서버에 요청을 보낼 때마다 쿠키를 같이 전송 - 서버는 클라이언트의 요청에 포함된 쿠키로 클라이언트 구분 - 클라이언트의 정보 기록, 상태 정보 표현 용도로 사용 쿠키 변조 - 악의적인 클라이언트는 쿠키 정보를 변조하여 서버에 요청 가능 - 별다른 검증 없이 쿠키를 통해 이용자의 인증 정보를 식별할 .. [Web Hacking] STAGE 2 STAGE 2 1) 웹 기본 상식 * Web 웹 (Web) - 인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스 - 웹 서버 (Web Server): 정보를 제공하는 주체 - 웹 클라이언트 (Web Client): 정보를 받는 이용자 프론트엔드 (Front-end) - 이용자의 요청을 받는 부분 - 이용자에게 직접 보여짐 * 웹 리소스 로 구성됨 백엔드 (Back-end) - 요청을 처리하는 부분 웹 리소스 (Web Resource) - 웹에 갖춰진 정보 자산 - 웹 리소스는 고유의 URI(Uniform Resource Indicator)를 가짐 → 식별에 이용됨 * HTML, CSS, JS 로 구성 HTML (Hyper Text Markup Language) - 웹 문서의 .. 이전 1 다음
