영서의 문제풀이 (1) ! [web] LEVEL 1 CSRF-1 문제 정보 여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. CSRF 취약점을 이용해 플래그를 획득하세요. 1. 2. 3. 4. 5. - vuln(csrf) page의 url 정보를 살펴보면 vuln 함수에서 script 문이 * 로 필터링 되어있음을 볼 수 있다 - * 로 필텅링하는 이유는 ? xss 공격을 방어하기 위함이다. 6. - memo 함수는 flag에 입력한 값이 성공했을 때 출력되는 페이지이다. - 그 이유를 살펴본다면, memo 함수에서 이미 hello 라는 문자열이 있기 때문에 쿠키 값이 존재한다고 생각할 수 있다. 7. - notice flag 함수는 admin 계정 권한에 속한다는 것을 알 수 있다. 8..

영서의 2주차 문제풀이 (2) ! [web] LEVEL 1 xss-2 문제 정보 여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다, XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. 플래그 형식은 DH{...} 입니다. 1, 2. 3. 4. 5. 6. - 바로 전 학습했던 xss-1에서의 화면과 같음을 인지한다. - xss-1 화면에서와의 차이를 파악할 수 있어야한다. 7. 8. 9. - 6번 단계에서 지난 시간에 학습했던것과의 차이는 가 삽입되어 우회하고 있다는점이다. - 따라서 우리는 여기에 이미지파일을 넣어 이미지 파일이 정상적으로 구현되는지를 확인해볼것이다. - 를 왜 입력해야하는지에 대해서는 다양한 문제의 반복적인 풀이를 통하여 익혀..

영서의 2주차 드림핵 문제풀이 (1) ! [web] LEVEL 1 xxs-1 문제 정보 여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. *XXS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. 플래그 형식은 DH{...} 입니다. 나 공부하기 위한 용어사전 *XSS(Cross Site Scripting) - 클라이언트 사이드 취약점의 대표적인 공격 - 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에 해당 스크립트를 실행 가능 - 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능 수행 가능 1. 2. 3. - open File을 선택해 압축을 푼 파일을 열어준다. 4. 5. 6. - 화면..

영서의 1주차 드림핵 문제풀이(3) ! [web] LEVEL 1 cookie 문제 정보 쿠키로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. 플래그 형식은 DH{...} 입니다. 1. 2. - 이 문제는 https://yeongsso.tistory.com/3 에서 다뤘기 때문에 자세한 설명은 첨부한 url 참고 바란다. 3. 4. 5. - admin 계정으로 로그인에 성공하여 플래그를 얻는 것이 이 문제의 목표이기 때문에 변경해준다. 6. - admin 계정의 플래그 값이 아주 훤히 보인다. 7. ★ 이번 문제의 핵심 포인트 ☆ - 기억력 (session-basic 문제 풀이 방식을 잘 떠올리며 문제를 풀면 쉽게 해결 가능!

영서의 1주차 드림핵 문제풀이 (2) [web] LAVEL 1 session-basic 문제정보 *쿠키와 *세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. 플래그 형식은 DH{...} 입니다. 나 공부하기 위한 용어사전 *쿠키(cookie) - 인터넷 웹사이트의 방문기록을 남겨 사용자와 웹사이트 사이를 매개해 주는 정보 *세션(session) - 클라이언트 내의 서비스 요구 처리 프로그램과 서버 내의 서비스 응답 처리 프로그램 사이에 링크가 설정되는 것 1. 2. - visual studio 개발 도구 및 서비스를 사용하면 모든 개발자가 모든 플랫폼 및 언어로 앱을 쉽게 개발할 수 있다. 3. 4. 5. - 우리는 이 소스코드..

영서의 1주차 드림핵 문제풀기 ! [web] LEVEL 1 devtools-sources 문제 정보 개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{…} 입니다. 1. 2 - 다음 화면에서는 우리가 원하는 값을 볼 수 없다는것을 깨달아야한다. - 따라서 크롬의 관리자 도구를 여는 방법을 생각해봐야한다. 3. - flag가 이 소스코드 안에 존재한다고 하니 찾기 기능을 사용하자. - cntl + shift +f 윈도우 단축키를 사용하여 flag를 찾으면 된다. 4. - flag를 입력하여 나오지 않아 flag의 형식인 dh{ 를 입력하여 flag 값을 확인한다. 5. ★ 이번 문제의 핵심 포인트 ☆ 1. 관리자도구 -> F12 2. 검색 단축기 -> cntl + sh..