전체 글223 정보보안8 7차시 모의해킹 실습 * 로그인 시도 시, select문으로 db내 패스워드와 비교하는 로직이 있을 때 해킹하기 쿼리 : SELECT * FROM $TBNAME WHERE userid='$userid' and userpass=password('$userpw')"; ' and 1=1 -- 또는 ' and 1=1 # => 비밀번호 비교 때문에 통하지 않음 admin' or 1=1 -- => id 넣어도 실패 정답 admin에 ' or 1=1 /* password에 */# 또는 */-- 를 사용여러 줄 주석으로 코드를 무력화하였음 mysqldump mywebsite member > member.sql( 각 행을 별도의 insert문으로 : mysqldump mywebsite member --skip-extende.. 2024. 11. 30. 정보보안8 6차시 mysql 들어가지 않고 명령어실행하기mysql DB명 -e "sql문"ex) mysql mywebsite -e "update member set userpass=password('111111') where userid='admin'" 쉘스크립트shell 만들기자신의 home 디렉토리에 bin 폴더를 만든다 argc=$# #### if문 사용if [ $argc -eq 0 ]; then echo "Usage: $0 number" echo "number " echo " . 1: 비밀번호 출력" echo " . 2: 비밀번호 변경" echo " . 3: 비밀번호 확인" fi #### case 문 사용case $1 in 1) .. 2024. 11. 24. 정보보안8 5차시 로키8의 보안때문에 실습이 지연되어 centos7로 테스트네트워크 설정하고, firewall-cmd로 http 허용firewall-cmd --permanent --add-service=httpfirewall-cmd --reload * 센토스 centos 7.9가 2024 06 30일자로 EOL종료되어 yum install이나 update시 에러발생 해결방안1. suse linux가 제공하는 유료지원 이용 https://www.suse.com/ko-kr/products/multi-linux-support/1년 기준 67달러 2. 저장소 변경 /etc/yum.repos.d/CentOS-Base.repo 파일을 열어서 기존 주소 주석처리하고 변경 baseurl=http://vault.centos.org/7.9.. 2024. 11. 23. OWASP Top 10 항목 진단 - WebGoat (환경설정) 무작정 따라하며 원리를 깨우치는 웹 해킹 : WebGoat 편https://www.inflearn.com/course/%EC%9B%B9-%ED%95%B4%ED%82%B9-%EB%B3%B4%EC%95%88-webgoat 실무에서 OWASP Top 10 진단을 중요시한다는 얘기를 듣고 이번에 들을 강의로 정했다. 웹곳WebGoat이란? OWASP에서 JAVA 기반으로 제작된 웹 어플리케이션. 취약환경을 구성하여 기능별 취약점 실습 가능(WebGoat 8.1.0 버전 기준) 순서1. Injection - SQL Injection - Path traversal 2. Broken Authentication - Authentication Bypasses - JWT tokens - Password reset - S.. 2024. 11. 18. 이전 1 2 3 4 5 ··· 56 다음