동아리/23 - 2
-
SQL Injection2동아리/23 - 2 2023. 9. 19. 10:29
출제 의도 : 특정문자 필터링 SQL Injection 2번 문제이다 문제의 힌트는 NO~~ NO~~ 이다 간단하게 로그인을 시도해보았다 이 문제의 SQL 에는 큰따옴표를 사용함을 알 수 있다 아이디에 큰따옴표를 입력하고 로그인을 시도하니 에러가 발생했다 내가 입력한값이 SQL 에 정상적으로 반영된다 아이디에 or 을 입력하고 로그인을 시도하니 or이 NO로 바뀌면서 로그인에 실패했다 로그인과정에서 or 문자가 있으면 검증과정을 거쳐 NO로 바꾸는듯 하다 하지만 블랙리스트 기반의 검증과정에는 한계가 있어서 or을 대문자 OR로 시도하니 SQL Injection에 성공했다 + 추가적으로 #을 사용해 주석처리가 가능하다
-
SQL Injection1동아리/23 - 2 2023. 9. 19. 10:21
출제 의도 : SQL Injection 기초 SQL Injection 1번 문제다 1번문제이므로 아무런 보안장치 없이 제작하였다 and와 or의 우선순의를 사용해서 SQL Injection을 시도한다 간단하게 asdf를 아이디와 비밀번호에 입력하고 로그인하면 위와 같이 나온다 위 SQL 구문에서는 작은따옴표를 사용하므로 아이디에 작은따옴표 1개를 입력후 로그인해보았다 로그인 결과 에러가 발생했다는 메시지가 나타나며 내가 입력한 작은따옴표가 SQL 구문으로 정상적으로 인식된다 위와 같이 입력을 하니 SQL Injection이 성공적으로 반영되었다
-
문수공학제 - BITB를 이용하여 피싱사이트 제작하기동아리/23 - 2 2023. 9. 10. 22:57
동아리 활동 관련하여 문수공학제에 체험활동을 진행하기 위하여 BITB 를 이용하여 피싱사이트를 제작했다 피싱사이트를 제작하고 이용자의 입력값을 메모장으로 가져와 수집하는 작업도 추가했다 위와 같이 BITB 관련하여 github에서 기초적인 파일을 다운받았다 피싱사이트의 대상은 tistory로 정하였고 위와 같이 피싱사이트를 만들었다 체험활동할 때에는 192.168...인 ip 주소도 변경할 예정이고 로그인 페이지의 경로도 그대로 복사해서 가져왔다 실제 티스토리 사이트에서는 위와 같이 작은 창이 뜨지 않고 새로운 로그인 페이지로 이동한다 하지만 BITB 공격을 위하여 작은 창이 뜨도록 했고 카카오계정, 티스토리계정, URL 까지 그대로 복사했다 카카오계정으로 위와 같이 실험용 데이터를 입력하고 로그인했다 ..
-