Today I Learned …

* 개인적인 공부 내용을 기록한 글입니다. 이전 문제 https://choco4study.tistory.com/127 [Lord of SQL Injection] 29번 phantom 풀이 * 개인적인 공부 내용을 기록한 글입니다. 이전 문제 https://choco4study.tistory.com/122 [Lord of SQL Injection] 28번 frankenstein 풀이 * 개인적인 공부 내용을 기록한 글입니다. 사담 와 진짜 처음부터 끝.. choco4study.tistory.com 30번 문제 ouroboros 분석 및 풀이 30번 문제는 다음과 같다. 쿼리의 결과와 사용자의 입력값이 일치하는 지 검증하는 문제이다. pw를 찾아내면 쉽게 풀 수 있는 문제이기 때문에 아마 테이블 내부에 pw..

* 개인적인 공부 내용을 기록한 글입니다. E2E 개념 및 파라미터 암호화 우회 E2E (= E2EE) 란? End to End Encryption = 종단간 암호화 정보를 발신할 때부터 수신할 때까지 암호화를 유지한 채로 전송하는 방식이다. 종단간 암호화가 적용되지 않은 경우 발신원에서 암호화된 정보가 중간 서버에서 복호화된 뒤, 재암호화되어 수신원에게 전달되기 때문에 해독 가능한 정보가 중간 서버에 잔류하게 된다. 따라서 이를 노리고 중간 서버를 공격한 공격자 또는 중간 서버의 관리자가 해당 정보를 열람할 수 있게 되는 문제가 발생한다. 종단간 암호화가 구현된 경우 발신원의 정보가 최초에 암호화된 상태 그대로 수신원에게 전달되므로 공격자 뿐만 아니라 정보를 전달하는 서버 조차도 키를 몰라 해당 정보에..

* 해당 주차의 수업 내용을 정리합니다. * 해킹이란 뭘까??? * "00사이트 해킹했어!" 라는 건 무슨 말일까? * "00사이트 해킹해주세요!" 는 무슨 말일까? * 해킹 > 숨겨진 정보를 얻는 것 * 목표! URL : ~~~~~~~ * 항목 별로 1, 2, 3, 4..... > 재미 없다. * Normaltic > 서비스를 이용한다. ex. 온라인 쇼핑몰 - 다른 사람의 계정으로 물건을 사고 싶다. - 다른 사람이 주문한 물건을 내 집으로 배송시키고 싶다. * 백신 패스 JWT * E2E Encryption : 구간 암호화 - 데이터 평문 전송 HTTP VS HTTPS (TLS/SSL) > S = Security WireShark > 네트워크 패킷 덤프 aJax.vestFire(); E2E 직접 다..

* 개인적인 공부 내용을 기록한 글입니다. 이전 문제 https://choco4study.tistory.com/122 [Lord of SQL Injection] 28번 frankenstein 풀이 * 개인적인 공부 내용을 기록한 글입니다. 사담 와 진짜 처음부터 끝까지 분노 유발한 문제다 ㅋㅋㅋㅋㅋㅋ 하... 아직도 끝부분이 좀 미제라 맑은 정신에서 다시 봐야할 것 같다... 이전 문제 http choco4study.tistory.com 29번 문제 phantom 분석 및 풀이 29번 문제는 다음과 같다. no=1 레코드의 email을 찾는 문제이다. 먼저, 준비된 쿼리문을 보겠다. $query = "insert into prob_phantom values(0,'{$_SERVER[REMOTE_ADDR]}..

* 개인적인 공부 내용을 기록한 글입니다. 나만의 Proxy 만들기 (Python Socket Programming) 정말 뜬금없이 조금은 특이한 도전을 해보게 되었다. 바로 소켓 프로그래밍을 이용하여 간이 프록시를 만드는 것이다! 구현 목표는 다음과 같다. 1. telnet을 이용해 내 프록시에 접근한다. 2. telnet쪽에서 send 명령어를 통해 보낸 HTTP 요청을 적절히 가공하여 본래의 서버로 대신 요청한다. 3. 본래의 서버로부터 받은 응답 패킷을 프록시에 캐싱한 후 telnet측에 대신 응답한다. 4. 이후 telnet측으로부터 동일한 요청을 받았을 시 본래의 서버로 요청을 넘기지 않고 즉시 캐시 데이터를 전달한다. 이를 위해 고안한 메커니즘은 다음과 같다. 1. 사용자로부터 요청 패킷을 ..

* 개인적인 공부 내용을 기록한 글입니다. 5강 정리 : 대칭키 암호 문자 → 비트 문자 : 텍스트 비트 : 그래픽, 오디오, 비디오 등 현대 블록암호의 구성 요소 치환으로 설계됨 전치 ⊂ 치환 전치 (P-박스) + 치환 (S-박스) + 그 밖의 구성 요소를 결합 스크램블드 에그 대칭키 암호에 의한 암호화는 스크램블드 에그를 만드는 것과 비슷하다. 그러나 가능한 뒤죽박죽인 암호문을 만들되, 수신자에 의해서 정확하게 복호화될 수 있어야 한다. P-박스 (Permutation=전치) 입력 (n) / 출력 (m) 역함수 비고 단순 (Straight) n = m O - 축소 (Compression) n > m X 비트를 줄이고자 함 확장 (Expansion) n < m X 비트를 증가시키고자 함 S-박스 (Su..

* 개인적인 공부 내용을 기록한 글입니다. 이전 포스팅 https://choco4study.tistory.com/123 [웹개발] 웹 호스팅으로 내 웹을 올려보자! (1) : 웹 페이지 올리기 (feat. 카페24) * 개인적인 공부 내용을 기록한 글입니다. 웹 호스팅으로 내 웹을 올려보자! (feat. 카페24) 개발을 독학하면서 가장 궁금했던건 그래서 이걸 어떻게 웹에 띄우지? 였다. 웹 호스팅, 서버 호스팅... choco4study.tistory.com 웹 호스팅으로 내 웹을 올려보자! (feat. 카페24) 이번 포스팅에서는 웹 서버의 DB에 접근하는 방법에 대해 알아보자! * GUI, CLI 상에서 모두 가능하다. 순서 [이전 포스팅] 1. 웹 호스팅 업체 선정 2. 웹 호스팅 신청 3. Fi..

* 개인적인 공부 내용을 기록한 글입니다. 웹 호스팅으로 내 웹을 올려보자! (feat. 카페24) 개발을 독학하면서 가장 궁금했던건 그래서 이걸 어떻게 웹에 띄우지? 였다. 웹 호스팅, 서버 호스팅... 말로만 들어봤지 직접 해본 적은 한번도 없었기 때문에 뭔지 모를 두려움을 갖고 있었다. 호스팅 서비스를 이용하면 된다던데, 페이지는 파일을 올리면 된다치고, 그럼 DB는 어떻게 띄우지? 같은 의문도 있었다. 최근 우연히 계기가 생겨 그래 까짓꺼 한번 직접 해보자! 하는 마음으로 웹 호스팅을 사용해봤다. 그리고 알게된 사실은... 겁 먹었던게 무색할 정도로 정말 쉽고 간편하게 만들어진 서비스라는 점이었다! 그래서 이번 포스팅에서는 누구나 쉽게 따라할 수 있는 웹 호스팅 사용 방법을 정리해보고자 한다. 전..

* 개인적인 공부 내용을 기록한 글입니다. 사담 와 진짜 처음부터 끝까지 분노 유발한 문제다 ㅋㅋㅋㅋㅋㅋ 하... 아직도 끝부분이 좀 미제라 맑은 정신에서 다시 봐야할 것 같다... 이전 문제 https://choco4study.tistory.com/120 [Lord of SQL Injection] 27번 blue_dragon 풀이 * 개인적인 공부 내용을 기록한 글입니다. 사담 아.... 거의 다 썼는데 날아가서 다시 쓴다 ㅎ... 요즘 왜 뭘 자꾸 날리는지 모르겠다...ㅠㅠ 이전 문제 https://choco4study.tistory.com/119 [Lord of SQL Inject.. choco4study.tistory.com 28번 문제 frankenstein 분석 및 풀이 28번 문제는 다음과 ..

* 해당 주차의 수업 내용을 정리합니다. * 입사 > 실전 경험 > 창의력/잔머리 * 일상 생활 > 식당에 갔다. 밥을 먹는다. > 뷔페 : 인증 * 메가커피 1. 커피를 고른다. 2. 계산하기를 누른다. 3. 쿠폰 적립 유무 알림 4. 쿠폰 (핸드폰 번호 입력) → 쿠폰 적립 5. 카드를 꼽고 계산 6. 커피가 나온다. * 방역패스 * 배달의 민족 > 배민 오더 * 인증/인가 취약점 > 인증과 인가가 불충분해서 발생하는 취약점 인증 : Authentication - 그 사람이 맞는지 확인하는 작업 ex) 로그인 인증, 본인 인증, 휴대전화 인증, 카드 인증... 인가 : Authorization - 권한을 부여하는 것 ex) 글의 수정을 허용하는 것, 삭제, 등등... * 인증 취약점 > 다른 사람인 ..

* 개인적인 공부 내용을 기록한 글입니다. 사담 아.... 거의 다 썼는데 날아가서 다시 쓴다 ㅎ... 요즘 왜 뭘 자꾸 날리는지 모르겠다...ㅠㅠ 이전 문제 https://choco4study.tistory.com/119 [Lord of SQL Injection] 26번 red_dragon 풀이 * 개인적인 공부 내용을 기록한 글입니다. 이전 문제 https://choco4study.tistory.com/116 [Lord of SQL Injection] 25번 green_dragon 풀이 * 개인적인 공부 내용을 기록한 글입니다. 이전 문제 https://choco4s.. choco4study.tistory.com 27번 문제 blue_dragon 분석 및 풀이 27번 문제는 다음과 같다. 1. 싱글쿼..

* 개인적인 공부 내용을 기록한 글입니다. 이전 문제 https://choco4study.tistory.com/116 [Lord of SQL Injection] 25번 green_dragon 풀이 * 개인적인 공부 내용을 기록한 글입니다. 이전 문제 https://choco4study.tistory.com/115 [Lord of SQL Injection] 24번 evil_wizard 풀이 * 개인적인 공부 내용을 기록한 글입니다. 이전 문제 https://choco4st.. choco4study.tistory.com 26번 문제 red_dragon 분석 및 풀이 26번 문제는 다음과 같다. 1. 딱히 필터링 없음 2. id값이 7자 이내여야함 solve 조건은 admin 계정의 no를 알아내는 것이다. ..