분류 전체보기 (88) 썸네일형 리스트형 [DreamHack] rev basic-01,02,03 풀이 보호되어 있는 글입니다. [WEB] URI 개념 URI : Uniform Resource Identifier 의 약자 URL의 상위 개념 Scheme, Authority (Userinfo, Host, Port), Path, Query, Fragment으로 구성됨 Scheme://Authority(Userinfo,Host):(Port)/Path?Query#Fragment 의 형식으로 작성 Scheme = 사용프로토콜 Authority = 웹 서버 정보(호스트 네임, 사용 포트,경로) Query = 웹 서버에 전달할 정보(= 파라메터) Fragment = 메인 리소스 내 서브 리소스에 접근 시 식별할 정보 정도 이다. 웹 해킹 시 URI를 사용하는 경우가 왕왕 있으니 기본 개념 작성해놓습니다. 보안 관련 이벤트들 OWASP 서울 컨퍼런스 10/8 19시 온라인 KISA 핵더챌린지 접수 ~10/23 이벤트 11/3~11/12 JSFuck for XSS(XSS를 위해 쓰는 JSFuck 공략!) 버그바운티 공부를 위해 하훌(@hahwul)님의 글을 읽던 중 매우 재밌어 보이는 코드를 발견해서 공부해봤습니다. https://www.hahwul.com/2018/11/20/waf-bypass-xss-payload-only-hangul/ WAF Bypass XSS Payload Only Hangul(한글만 이용해서 XSS 페이로드 만들기) Security engineer, Bugbounty hunter, Developer and... H4cker www.hahwul.com 요약하면 JSFuck을 사용해서 alert()구문을 만들어 내는 거고 이 과정에서 한글 문자들에 저장 각 영문을 저장해서 실행 가능한 코드를 만드는 겁니다. https://github.com/aemkei/katakana.js/blo.. 버그바운티 레퍼런스 정리 보호되어 있는 글입니다. DB별 함수 모음(SQLi 대비용, 계속 업데이트 할 예정) 써니나타스 풀면서 잘 공부안한 MS-SQL 함수들 때문에 헤맨경험이 있기에 정리해 둡니다. 문자열 합치기: 오라클,My-SQL[ concat('a','b') ] , MS-SQL[ 'a'+'b'] 써니나타스 #18번 풀이 86 71 57 107 89 88 107 103 97 88 77 103 89 83 66 110 98 50 57 107 73 71 82 104 101 83 52 103 86 71 104 108 73 69 70 49 100 71 104 76 90 88 107 103 97 88 77 103 86 109 86 121 101 86 90 108 99 110 108 85 98 50 53 110 86 71 57 117 90 48 100 49 99 109 107 104 더보기 cipher ="86 71 57 107 89 88 107 103 97 88 77 103 89 83 66 110 98 50 57 107 73 71 82 104 101 83 52 103 86 71 104 108 73 69 70 49 100 71 104.. 써니나타스 #23번 풀이 허허 22번 반복인데 이번엔 admin이 막혔네.... substring이야 22번이랑 반대로 원래하던데로 아스키 레프트 라이트 조합으로 하면 되는데... 이거 필터링 순서가 반대아닌가??? 어떻게 admin을 우회할까... 아 or 필터링 안걸어 놨네 개꿀띠 or 랑 like 조합으로 와일드 카드 쓰면 될듯 ㅋㄷㅋ 근데 진짜 문제 순서가 이상한거 같은데 ㅡ.ㅡ;; ㅡ.ㅡ like 필터링 되네... 어쩐지 너무 쉽게 풀린다 했네 문자열을 더해주는 concat함수를 써보자 aaa' or id = 'guest' -- 얘까지 되고 reverse,replace를 해보자 안되네... 뭐징 함수들이 다 실행할 인자를 주면 no hack이 뜨네;;;; ------------------------------------.. 이전 1 ··· 4 5 6 7 8 9 10 11 다음
