전체 글 썸네일형 리스트형 드림핵 error based sql injection https://dreamhack.io/wargame/challenges/412 문제는 이와 같다. 문제 파일을 다운 받고 열어봤다.app.pyimport osfrom flask import Flask, requestfrom flask_mysqldb import MySQLapp = Flask(__name__)app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost')app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user')app.config['MYSQL_PASSWORD'] = os.environ.get('MYSQL_PASSWORD', 'pass')app.config['MYSQL_DB'] .. 더보기 드림핵 blind sql injection advanced https://dreamhack.io/wargame/challenges/411 blind sql injection advancedDescription Exercise: Blind SQL Injection Advanced에서 실습하는 문제입니다. 관리자의 비밀번호는 "아스키코드"와 "한글"로 구성되어 있습니다. 문제 수정 내역 2023.07.20 Dockerfile 제공dreamhack.io 문제에서 비밀번호는 아스키코드와 한글로 구성되어 있다고 알려줬다. app.pyimport osfrom flask import Flask, request, render_template_stringfrom flask_mysqldb import MySQLapp = Flask(__name__)app.config['M.. 더보기 WebGoat SQL Injection 11번내용은 이와 같다.문자열 SQL 인젝션을 통한 기밀성 침해1. 시스템 취약점 - SQL 인젝션에 취약한 시스템은 CIA 트라이어드(기밀성, 무결성, 가용성)의 각 측면을 쉽게 침해할 수 있다.2. 문자열 SQL 인젝션이란 - 애플리케이션이 사용자 입력을 단순히 SQL 쿼리에 연결하는 방식으로 구축될 때 발생한다. - 사용자 입력이 적절한 검증 없이 쿼리에 직접 삽입되면, 공격자가 쿼리의 동작을 수정할 수 있다.3. 실습 시나리오 - John Smith라는 직원으로, 회사의 내부 시스템에 접근할 수 있다. - 시스템은 인증 TAN을 사용하여 직원 개인 정보에 접근한다. - 목표: 자신의 정보 대신 모든 동료의 정보, 특히 급여 정보를 조회하는 것이다.4. 주어 쿼리 "SEL.. 더보기 백준 1012번 유기농 배추 입출력 조건은 다음과 같다. 각 테스트 케이스에 대해 M x N 크기의 2차원 리스트 field를 생성했다.입력받은 배추의 위치를 field에 표시하여 1로 설정한다.field를 순회하면서 아직 방문하지 않은 배추(1)를 발견하면-해당 위치에서 DFS를 시작합니다.-DFS는 연결된 모든 배추를 방문했다고 0으로 변경한다.-DFS가 종료되면 하나의 연결된 배추 그룹을 모두 처리한 것이므로 count를 +1한다.모든 배추를 처리할 때까지 반복문으로 처리한다. import syssys.setrecursionlimit(10000)def dfs(x, y): # 주어진 범위를 벗어나는 경우 즉시 종료 if x = M or y = N: return # 현재 노드를 .. 더보기 악성코드_동적 분석 동적 분석분석대상 파일(악성코드)을 직접 시스템에서 실행시킨 후, 일어나는 변화를 모니터링하여 행동 패턴을 분석하는 방법 [1] 분석 환경 준비 -VirtualBox-windows 10 iso file https://lucidmaj7.tistory.com/132 윈도우10(Windows10) ISO 파일 바로 받는 방법윈도우10는 따로 설치 DVD가 필요없이 설치 디스크를 ISO파일로 받거나 설치 USB디스크로 만들 수 있습니다. 바로 윈도우 홈페이지에 접속하여 다운로드가 가능한데요. 하지만 윈도우 PC로 접속하lucidmaj7.tistory.com윈도우 10 iso 파일은 이 블로그 링크를 통해 바로 다운 받았다. 설정 -> 저장소 -> 비어있음 -> 광학 드라이브 -> 다운로드 받은 IS.. 더보기 백준 1011번 Fly me to the Alpha Centauri https://www.acmicpc.net/problem/1011 입출력 조건은 다음과 같다. 이전에 k광년을 이동했다면 다음은 k-1,k,k+1 광년 중 하나다.첫 이동은 1광년이고 도착 전 마지막 이동이 반드시 1광년이어야 한다.총 이동거리가 n(n+1)/2보다 작거나 같을 때, n번의 이동으로 y에 도착할 수 있다. n(n+1)/2가 distance와 같거나 약간 크다면-> n번의 이동으로 도착지에 도달하거나 약간 지나칠 수 있으므로 n을 반환한다.n(n+1)/2가 distance보다 작다면-> 추가로 한 번 더 이동해야 도착지에 도달 가능하여 n+1을 반환한다. distance = y - x: 총 이동해야 할 거리를 계산한다.while 루프 안에서:현재 step만큼 이동하고 moves.. 더보기 머신러닝을 활용한 알려지지 않은 암호통신 프로토콜 식별 및 패킷 분류 서론알려지지 않은 네트워크 트래픽은 보안상의 문제를 일으킬 수 있어 네트워크 상에서 오가는 패킷은 보안성 검토가 필수적 프로토콜 역공학((Protocol Reverse Engineering,PRE)알려지지 않은 네트워크 프로토콜을 따르는 패킷 분석기법전송되는 데이터가 사람이 읽을 수 없는 바이너리 프로토콜과 같은 다수 요인으로 인하여 전문가의 수작업에 의한 분석은 효율성 저하-> 머신러닝 기법 이용하여 자동화 연구 활발-> 암호통신 프로토콜 사용 비중 증가 따라서 본 연구는 구조가 비공개된 암호통신 프로토콜 패킷 구조 분석 목적, 패킷 내 바이트 단위 상관관계 분석 통해 필드 경계 파악 관련 연구 1. 암호통신 프로토콜 패킷 패킷네트워크에서 데이터 전송을 위해 일정 크기로 자른 전송 단위헤더, 페이.. 더보기 Webhacking.kr old52 문제 페이지에 들어가니 이와 같이 떴다. 먼저 admin page에 들어갔다.사용자 이름에 admin과 admin으로 로그인을 했다.이와 같이 떴다. 이거 말고는 뜨는게 없어서 로그아웃..로그인..뒤로가기..반복해봤다.뒤로 가니 로그인 실패가 뜨고 view-source가 떠서 view-source를 봤다.여기부터...무슨 말인지 몰라서 다른 블로그를 참고하고 해결했다..프록시에 들어가니 이렇게 리퀘스트와 리스폰스가 떴다.SQL injection을 이용해 아이디를 이와 같이 하고 비밀번호는 아무거나 기입해도 로그인이 됐다. 버프스위트에서 내장 브라우저로 로그인한 후 리퀘스트와 리스폰스를 보았다. GET /admin/ HTTP/1.1 Host: webhacking.kr:10008 Authorization:.. 더보기 이전 1 2 3 4 5 6 7 8 ··· 12 다음
