d0ky0_ch@071c

[SK쉴더스 Rookies 19기] 클라우드 기반 스마트 융합보안 과정 01. Command Injection view로 .help 파일을 누르면 내용을 볼 수 있다 개발자 도구를 통해 전달되는 형식을 추측해본다 attack?Screen=6&menu=1100&HelpFile=AccessControlMatrix.help&SUBMIT=View 아마도 . . cmd.exe /c type "C:\FullstackLAB\workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp1\wtpwebapps\WebGoat\lesson_plans\English\AccessControlMatrix.html" cmd.exe → 명령 프롬프트 실행 /c → 명령어 실행 완료 후 ..

[SK쉴더스 Rookies 19기] 클라우드 기반 스마트 융합보안 과정 01. Stage 1 - String SQL Injection Neville로 로그인 시도해보자 입력 창에 항상 참이 되는 구문 삽입 a' or 'a' = 'a 길이 제한이 8로 걸려있음 변경 후 넣어주기 proxy 사용 02. Stage 3 - Numeric SQL Injection Larry 사용자로 로그인해서 Neville 사용자의 profile을 확인해보자 Neville를 검색하면 error가 뜬다 접근 통제된 모습 try { String query = "SELECT employee.* " + "FROM employee,ownership WHERE employee.userid = ownership.employee_id and ..

[SK쉴더스 Rookies 19기] 클라우드 기반 스마트 융합보안 과정 01. String sql injection 이름을 입력하면 해당 사용자의 정보를 출력 모든 사용자의 정보를 출력해보자 Smith' or 'a' = 'a SELECT * FROM user_data WHERE last_name = 'Smith' or 'a' = 'a' → 항상 참이 되는 조건을 추가 외부 입력 값을 검증하지 않고 쿼리를 만드는데 바로 사용하여 취약점 발생 02. Numeric sql injection 선택한 지역의 정보를 출력 모든 지역의 정보를 출력해보자 개발자 도구 활용 Proxy 활용 클라이언트 사이드에 적용된 보안 기능은 서버 사이드에도 동일하게 혹은 더 이상으로 적용해야 함 03. Blind Numeric sq..