WebGoat를 풀어보자 - LAB Stage 3: Stored XSS Revisited
By 미미르가 콜렉션 | 2016년 12월 20일 |
이건 뭐 사실 설명할 필요도 없습니다.David 계정으로 접속해서 스테이지 2에서 했던 픽스가 있음에도 불구하고Bruce가 아직도 공격에 영향을 받는지 어떤지 확인만 해주면 되니까요. David로 접속한 다음 Bruce 프로필만 확인해주면 됩니다. 끝. 간단하죠?
넥슨 아이디가 확실히 털린 모양입니다.
By (주)모노리스 이글루스 제1지부 | 2017년 2월 14일 |
얼마전에 오랜만에 클로저스를 끝내고 접속을 종료했는데 갑자기 다른 곳에서 로그인이 되었다며 로그인이 풀린 일이 생겼습니다. 그래서 뭔가 이상하다는 것을 느낀 저는 여러가지로 확인해 본 결과 꽤나 경악했지요. 당장 이런 상태였습니다. 참고로 저는 저 시기에 저 게임들을 하긴 커녕 넥슨사이트에 접속한 적도 없습니다. 아무튼 가 본 적도 없는 대만에서 접속이 된다던가, 해 본적도 없는 에버플래닛과 메이플2에서 접속 기록이 있다던가, 만진지 벌써 년 단위가 되는 바람의 나라에 접속한 기록이 있는걸 봐서는 확실하게 해킹을 당한겁니다. U-OTP를 사용하니 걱정 없을거라고 생각했었습니다. 하지만 그게 착각이였지요. 보시다시피 U-OTP는 뚫린지 오래였습니다. 그나마 다행스럽게도 이번 해킹으로 제가 피해를
Hack This Site! Realistic mission 8을 풀어보자 - 은행 털기
By 미미르가 콜렉션 | 2016년 12월 11일 |
개리 헌터란 놈이 10000000 달러를 해커 퇴치 사업에 기부할 생각인 모양입니다.이 사람은 컴퓨터 백신 프로그램을 안 쓰나...?백신도 해커가 만드는데 말이죠. 아무튼 그래서 해야할 일은 1. 개리 헌터 계정 찾기(계정명은 모름^^)2. 돈을 dropCash란 계정에 옮기기3. 돈을 옮겼다는 로그 삭제하기 가 되겠습니다. (설명만 보면 범죄가 아닌가 싶지만 예제에서 언제 그런 거 신경 썼다고...) 그래서 와보면 왼쪽 메뉴로 홈 - 로그인 - 가입 - 헲 - 유저 정보가 있군요.저기 위에 있는 구글 야후! 이딴 거 무시하셔도 됩니다.눌러봤자 해당 사이트로 이동하고 끝이거든요.그러니 일단 가입부터 합시다. 유저 이름 비밀번호 그리고 원하는 정보를 적고 register를 누르면
WebGoat를 풀어보자 - Reflected XSS Attacks
By 미미르가 콜렉션 | 2016년 12월 21일 |
Reflected XSS Attacks에 대해선 여기를 참고하세요.여기다가 아무거나 공격 코드를 심어보라는 얘기겠죠 당연히.말 안해도 압니다. 그래서 신용 카드 번호 대신 코드를 여기다 넣어보면요. 아무 일도 생기지 않으니(…)이번엔 세자릿수 digit code 입력칸에 넣어보도록 합시다. 여기선 내 세자릿수 digit code 대신에 경고창 코드를 넣었음을 알고 있지만,미션은 훌륭하게 풀었습니다. 끝.