미미르가 콜렉션

포스트: 219|https://mimirga.egloos.com
Sources

Posts

219 posts
WebGoat를 풀어보자 - Cross Site Request Forgery (CSRF)

WebGoat를 풀어보자 - Cross Site Request Forgery (CSRF)

미미르가 콜렉션|2016년 12월 17일

이메일을 뉴스그룹한테 보내야 한댑니다.링크가 포함된 1 x 1 픽셀짜리 그림 파일인데, 거기 들어갈 URL이 현재 주소 뒷부분에 'transferFunds=4000'를 포함하고 있어야 한다네요.공격에 성공하면 링크로 슉 가겠죠? 그래서 이 긴 설명을 읽은 다음 '설마' 하고 주소 뒤에 '&transferFunds=4000'를 넣어봤는데요. 미션 잘 깨집니다... 완료하면 왼쪽에 초록 딱지 붙는다는데 그것도 잘만 붙습니다...정말 모로 가도 서울만 가면 됩니다! 하지만 교수님은 안 좋아하겠죠!! 그래서 씁니다... 평범하게 푸는 방법...

해킹(170)WEBGOAT(8)
WebGoat를 풀어보자 - Stage 5: Reflected XSS

WebGoat를 풀어보자 - Stage 5: Reflected XSS

미미르가 콜렉션|2016년 12월 15일

"마! 무봐라! 디진다 아이가! 퍼뜩 무봐라!" 이 짤방의 독사과가 바로 'Reflected XSS' 역할을 합니다.보기엔 멀쩡해보이는데 사실은 독(악성 코드)이 숨어있다!이제 저거를 먹으면 꼴까닥 하는 거죠.뭐가? 백설공주 말고 여러분 컴퓨터가. 이처럼 Reflected XSS는 사용자가 눈치채기 힘들도록 형태를 바꾼 상태로 여러분에게 접근합니다. 스테이지 5인데요. Reflected XSS 공격을 넣은 SearchStaff 페이지를 어떻게 좀 만들어 보라고 합니다.'SearchStaff' 버튼은 로그인 하면 바로 보입니다. 검색창에 지난번에도 쓴 이 경고 코드를 넣어주면 되는데요. 직

해킹(170)WEBGOAT(8)
WebGoat를 풀어보자 - Stage 1: Stored XSS

WebGoat를 풀어보자 - Stage 1: Stored XSS

미미르가 콜렉션|2016년 12월 15일

여러분이 상자에 양을 하나 넣었다고 칩시다.그 다음 다른 사람이 상자를 열 때까지 기다려봅시다.마침 지나가던 사람이 그 상자를 열었어요. 당연히 양이 들어있겠죠? 알고 보니 그 양이 악성코드더라. 그게 바로 Stored XSS 공격 방식입니다.보다시피 남의 사이트(상자)에 악성 코드(양)를 넣어두면 상자를 연 사람 모두가 피해를 받습니다.왜냐하면 그놈의 악성코드가 사이트에 저장되어 있기 때문이죠. 우리가 여기서 하는 게 바로 그 일입니다.제리라는 친구의 계정이 Stored XSS에 취약하다는 걸 직접! 보여달라고 하네요. (?) 아무튼 Jerry 계정의 암호는 'jerry'입니다. 설명에 쓰여있잖아요.Tom 계정은 tom이고요. 들어오면 스태프 검색도 되고... 프로

해킹(170)WEBGOAT(8)
윙 건담 제로 [피스크래프트 모델]같은 게 있군

윙 건담 제로 [피스크래프트 모델]같은 게 있군

미미르가 콜렉션|2016년 12월 15일

출처. 1 : 2016/12/13(火) 23:15:37.281 지멋대로구만 2 : 2016/12/13(火) 23:16:15.835 걍이잖아 4 : 2016/12/13(火) 23:16:39.611 엘레강트하네 6 : 2016/12/13(火) 23:17:14.750 전보다 심플해졌어? 7 : 2016/12/13(火) 23:18:00.796 지금 이렇게 된 거야? 8 : 2016/12/13(火) 23:18:29.679 실드에 창 끼우고 버드 모드로 변형하는 건가? 9 : 2016/12/13(火) 23:18:39.987 윙 제로는 애니판 쪽이 멋있지 않나 10 : 2016/12/13(火) 23:18:56.788

건담W(6)
Hack This Site! Realistic mission 9를 풀어보자 - 회사가 월급을 안 줘요

Hack This Site! Realistic mission 9를 풀어보자 - 회사가 월급을 안 줘요

미미르가 콜렉션|2016년 12월 12일

이보쇼, 내 상사 양반이 월급을 안줘서 집세를 못내는 상황이니 상사 계정 해킹해서 돈 좀!하고 절규하는 모 회사원이 보낸 요청입니다.자기 유저명이랑 비밀번호는 가르쳐줬네요. 직접 들어가보면 사이트를 정말 날림으로 만들었군요.애들 교육 소프트웨어를 만드는 회사랩니다.근데 회사원 월급은 안 주는군요.아무튼 로그인을 해보면 메시지 - 로그아웃 - 월급 주기 메뉴가 보입니다. Pay Salaries를 눌러보니 관리자가 아니라고 뜨네요. 그리고 Private Message을 눌러보면 여기 오너가 m-crap임을 알 수 있습니다.4인 회사라니 정말 가족^^같겠군요.일단 여기서 유추할 수 있는 건 ID = (사원명)@crappysoft.com일 것 같단 점입니다.그러니 오너 ID는

해킹(170)HACKTHISSITE(11)
인기 아이템더보기
최근 포스트더보기
Back to SourcesView All Sources
LINKS
TOTAL MENU
 
STATS