![]()
1. 문제 소개드림핵의 409번. session-basic https://dreamhack.io/wargame/challenges/409 devtools-sources개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{...} 입니다. Reference Tools: Browser DevToolsdreamhack.io 쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. 플래그 형식은 DH{...} 입니다. 2. 풀이 방법이 문제는 내가 처음 풀어본 워게임 문제이다 문제와 해설 하단에 있는 접속 정보에서 서버 생성부터 해줘야한다시간이 조금만 지나면 웹해킹 문제 링크가 생성되는데 잠깐이지만 기..
![]()
1. 문제 소개드림핵의 267번. devtools-sources https://dreamhack.io/wargame/challenges/267 devtools-sources개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{...} 입니다. Reference Tools: Browser DevToolsdreamhack.io 개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{...} 입니다. 2. 풀이 방법워게임 문제를 두문제 정도 풀어본 왕초보였을 때 푼 문제이다 어떻게 풀어야하는지 전혀 감을 잡을 수 없었다 문제 파일을 다운 받고 압축을 해제한다 생각보다 많은 파일이 들어있었는데 index.html 을 vs code가 아닌 브라우저..
![]()
VMWARE Workstation does not support nested virtualization on this host.Module 'HV' power on failed. Failed to start the virtual machine.Failed to start the virtual machine. 오류 해결 방법 일단 해당 오류는 Hyper-V 가 타사 가상화 애플리케이션과 하드웨어를 공유하지 않아 VMWare의 가상화와 중첩된 가상화를 지원하지 않기 때문에 발생하는 오류다. 거두절미하고 해결 방법을 소개하겠다 1. 이미지 경로에서 windows 11 x64_kor.vmx.lck 라는 .lck 파일을 삭제하고 재실행한다 실패한다면2. 관리자 권한으로 cmd 창을 연다3. bcdedit /set..
![]()
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. SNS 발전과 관련된 인터넷 기술2. 진짜 사이트와 거의 동일하게 며진 가짜 사이트를 이메일 또는 링크로 보내서 개인 정보를 탈취하는 공격은 피싱3. 악성 소프트웨어 종류로 중요 파일을 암호화한 뒤 돈을 주면 파일의 암호를 풀어주는 악성 소프트웨어는 랜섬웨어4. 소셜 네트워크에서 악의적인 사용자가 지인 또는 특정 유명인으로 가장하여 활동하는 공격 기법은 이블 트윈 어택5. 웹 2.06. 피싱 공격에 대한 대응 방안7. 사이버 폭력에 대한 대응 방안
![]()
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 2008년에 구글에서 공개한 웹 브라우저로 현재 가장 많이 사용되고 있는 것은 크롬2. 마이크로소프트에서 인터넷 익스플로러를 대체하기 위해 개발한 것은 엣지3. burp suite에서 특정 작업을 반복적으로 하기 위해 사용하는 기능은 repeater4. 웹 취약점 스캐너의 대표적인 툴로써 오픈 소스로 모든 기능을 이용할 수 있는 툴은 ??5. 브라우저의 개발자 도구를 통해 수행할 수 있는 기능6. burp suite에서 사용되는 intruder와 repeater의 기능
![]()
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 웹 애플리케이션 취약점 진단 방법 중에서 개발된 소스코드를 직접 보고 취약점을 찾는 방식은 Black Box Testing 2. 웹 애플리케이션에서 가장 빈번하게 발생하는 취약점은 입력 데이터 검증 미흡 3. 행정안전부의 소프트웨어 개발 보안 가이드와 OWASP top 10의 버전 간 항목 매핑- 입력 데이터 검증 및 표현 - A3 인젝션, A10 서버 사이트 요청 변조 SSRF, A4 안전하지 않은 설계- 보안 기능 - A1 잘못된 접근 통제, A5 보안 설정 오류, A7 식별 및 인증 실패, A8 소프트웨어와 데이터 무결성 실패, A9 보안 로그 및 모니터링 실패- 캡슐화 - A2 암호화 오류- API 오용 - A6 취약하거나 오래된 컴포넌트 4. 입력값..
![]()
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 웹 사이트에서 개인을 구별하기 위해 만든 것으로 클라이언트 측에 저장해두는 것은 쿠키 2. XSS는 Cross Site Scripting 의 약자다 3. XSS 공격을 통해 공격자가 일차적으로 얻고자 하는 정보는 사용자가 웹 서버로 전송하는 고유 쿠키 값 정보 4. CSRF는 Cross Site Request Forgery 의 약자다 5. XSS 취약점을 찾는 방법 중 하나인 스크립트 검증 예시로 사용되는 코드">">alert(document.cookie)"%3e%3cscript%3ealert(document.cookie)%3c/script%3e">%00"> 6. XSS 공격- 사용자가 조회하는 웹 페이지에 스크립트를 삽입하는 간단한 방식이지만 웹 애플리케이..
![]()
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. SQL DML 종류에 대한 설명2. SQL DDL 종류에 대한 설명 * DML : 데이터 조작 언어- SELECT 데이터 추출- UPDATE 데이터 수정- DELETE 데이터 삭제- INSERT 새 데이터 추가 * DDL : 데이터 정의 언어- CREATE 새로운 데이터 베이스나 테이블, 인덱스 생성- ALTER 데이터베이스나 테이블 수정- DROP 테이블이나 인덱스 삭제 3. 동시에 두 개의 테이블에서 데이터를 가져올 때 사용하는 명령어로 특히 SQL 인젝션 공격에서 다른 테이블에 있는 데이터를 가져올 때 사용하는 것은 JOIN 4. XPath 삽입 공격에서 사용되는 특수 문자는 / 5. Microsoft SQL Server에서 사용자 정의 테이블을 가..
![]()
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 가지고 있는 것을 사용한 인증 방법 - 여권알고 있는 것 정해진 것가지고 있는 것은 잃어버릴 수 있는 것그 자체로 데이터가 되는 것 2. 가장 취약한 패스워드는 ABC12cdf ?? 3. 접근 통제 유형 중에서 특정 정보에 대한 접근 권한을 수준별로 상이하게 설정한 통제는 수직적 접근 통제 * 수평적 접근 통제 - 여러 사용자가 존재할 때 상대 정보 안 보이게* 비즈니스 로직 접근 통제 - 사용자 권한에 종속되지 않고 중요 자원 접근에 대해 * 강제적 접근 통제 - 없음 통제에 대한 공격 방법??? 장단점도 확인하기 4. 인증과 관련된 취약점을 공격하는 대표적인 사례 6. 비즈니스 로직 접근 통제란 사용자 권한과 상관없이 민감하거나 중요한 자원에 접근 통제하..
![]()
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 시스템에 침투하는 일반적인 해킹 과정- 공격 대상 선정 - 정보 수집 - 취약점 분석 - 공격 - report, defacement, 흔적 제거 등 2. 구글의 고급 검색 기능 중 페이지 제목에 검색 문자가 포함된 사이트를 찾는 것은- intitle: 3. 웹 사이트를 조사하는 도구로 대표적인 웹 프록시 툴은- 웹 사이트 탐색 분석을 위한 자동화 도구 Burp Suite 4. 구글 검색 엔진의 검색을 피하기 위해 robots.txt 파일에 작성해야하는 두 가지 요소가 무엇인가. 예시..? 5. OWASP 탑 10의 2017과 2021 버전에서 수정된 항목6. OWASP 탑 10 2021 버전에서 언급한 상위 3개의 위험- 국제 웹 보안 표준 기구
