WebGoat를 풀어보자 - Multi Level Login 1
By 미미르가 콜렉션 | 2016년 12월 21일 |
스테이지 1에선 제가 Jane이름으로 로그인만 하면 됩니다.비밀번호도 tarzan이라고 다 알려줬군요. TAN 번호라는 1회용 인증 번호가 또 따로 있습니다. 이것도 입력해주고요. WebScarab으로 살펴보면 TAN에 넣은 값이 hidden_tan이란 곳에 들어있음을 볼 수 있습니다. 아무튼 1은 끝났군요.그랬더니 이번엔 해커 이름으로 접속하랩니다.근데 방금 전의 1회용 번호는 이미 썼네요 ㅡㅡ 우리가 TAN 번호를 하나 더 알고 있긴 한데 (맨 위 스샷에 찍혀있음)그거 써서 풀면 안됩니다ㅡㅡ 파이어폭스의 Tamper Data를 쓰면 로그인할 때의 HTTP/HTTPS 헤더랑 패러미터를 마음대로 수정할 수 있다네요.참고로 Tamper는 간섭한다는 뜻입니다. 그러니
[단기속성 연예가] 130517 코어측, 해킹범 '선처'
By 곤뇽스런 일상 2015 | 2013년 5월 17일 |
1분/1초 만에라도 화제가 뒤바뀌는 일이 비일비재한 연예가 소식. 바쁜 현대인을 위해 오늘 하루 강한 '이슈'를 한데 모은 [단기속성 연예가]에서 알려드린다.--------------------------------------------------------------------------------------- 코어측, 홈페이지 해킹범 '선처' 연예 기획사 코어콘텐츠미디어를 해킹한 범인이 17세 고교생으로 밝혀졌다. 고교생 A군은 부모와 함께 사이버수사대에 자수해 조사를 받았고 회사를 방문해 사죄의 뜻을 구했다. 코어 측은 큰 손실을 입었지만, 잘못을 깊게 뉘우치고 있어 선처하기로 했다고 밝히며 사건을 마무리 지었다. 해킹을 시도한 이유로는 자신의 실력을 보여주고자 행한 것일뿐, 소속가수 티아라의 안티
[SW][에세이] 해킹: Heap(힙) Protection으로 해커 공격 원천 봉쇄
By Guillermo Austin Kim | 2019년 1월 10일 |
스택 오버플로우혹시 스택 오버플로우란 용어를 들어본 적이 있나요?소프트웨어에서 스택 오버플로우란 지역 변수를 너무 크게 잡아 프로세스가 쓰고 있는 스택 메모리를 깨는 것을 의미합니다. 그런데 해커들은 스택 오버플로우를 써서 해킹을 합니다. 말 그대로 함수 인자 값 및 각종 local/auto 변수들이 있는 스택에 **일부러** 정해진 크기 보다 더 많은 데이터를 써서 컴퓨터를 해킹하는 것입니다. 여기서 해킹이라는 용어의 의미는: 1> 해커가 실행하고자하는 악성 코드를 실행할 수 있도록 컴퓨터의 제어권을 탈취하거나 2> 제어권의 탈취가 아니더라도 프로그램에서 매우 중요한 데이터를 조작하는 것 을 뜻합니다. 하지만 해커가 2 번째 방식으로 중요한 데이터를 획득하는 것은 어렵습니다. 그 이유