삽질블로그

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 3. 1) 첫 화면 2) 본인 계정으로 메일을 보내세요 3) http://호스트:포트/WebWolf 로 접속하고 WebGoat ID로 로그인 4) 현 화면이 나왔다면 Mailbox 클릭 5) 메일 클릭 6) unique code를 WebGoat 입력란에 넣어주면 끝 4. 첫 화면 1) Click here to reset you password 클릭 2) password에 새로운 비밀번호 입력하고 Save 3) 여기서도 uniqueCode가 나오지만 더 자세한 정보를 위해 http://호스트:포트/WebWolf/requests 접속 4..

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. github.com/WebGoat/WebGoat/releases Releases · WebGoat/WebGoat WebGoat is a deliberately insecure application. Contribute to WebGoat/WebGoat development by creating an account on GitHub. github.com 2. webwolf-8.0.0.M26.jar 설치 3. webgoat와 같은 폴더 선상에 둘 것 4. 명령 프롬프트 창을 열고 java -jar webwolf-8.0.0.M26.j..

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 2. 1) 브라우저 개발 도구를 열고 네트워크 탭으로 이동합니다. 2) WebGoat에서 로그인을 클릭합니다. 3) 네트워크 탭 start.mc에서 검색어를 찾아 Params를 클릭합니다. 4) Params를 확인합니다. {"username" : "CaptainJack", "password":"BlackPearl"}. 5) 로그인 ㄱㄱ

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 4. https://www.youtube.com/watch?v=r43oZ_agIsI 1) 첫 화면 2) Guest로 변경 3) Vote Now!를 누르면 해당 메시지가 뜨는 것을 확인 4) Tom으로 변경 5) Tom 계정으로 Vote Now!를 누르면 votes의 수가 36000에서 36001로 바꼈음을 알 수 있다. 6) 그리고 휴지통 버튼을 누르면 해당 텍스트가 뜬다. 7) 같은 방법으로 Sylvester의 계정으로 들어가서 휴지통을 눌러도 해당 텍스트가 뜬다. 8) 다시 Tom의 계정으로 휴지통을 누르되 Burp Suite의 ..

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. Authentication Bypasses 2단계 1) 첫 화면 2) 입력란 3) 4) secQuestion0 -> secQuestion2, secQuestion1 -> secQuestion3로 수정 5) 수정했으면 Forward 누를 것 6) 이러한 문구가 뜬다면 성공

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. userid first_name last_name department salary auth_tan 32147 Paulina Travers Accounting $46.000 P45JSI 89762 Tobi Barnett Development $77.000 TA9LL1 96134 Bob Franco Marketing $83.700 LO9S2V 34477 Abraham Holman Development $50.000 UU2ALK 37648 John Smith Marketing $64.350 3SL99A 2. 직원 Bob Franco의 부서..

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. 아래 링크에서 webgoat-server-8.0.0.M21.jar 다운로드 github.com/WebGoat/WebGoat/releases Releases · WebGoat/WebGoat WebGoat is a deliberately insecure application. Contribute to WebGoat/WebGoat development by creating an account on GitHub. github.com 2. 파일 명을 webgoat-server-8..

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 파일 업로드 취약점 공격 1단계 : 외부 요청 명령을 받아 들일 수 있도록 실행파일을 작성합니다. ----hack.php---- ---------------- PHP에서 $_GET 변수는 외부 HTML 폼 요청을 받을 수 있는 변수이다. 2단계 : 생성한 파일을 업로드 합니다. 3단계 : 업로드하였다면 아래 문구가 뜹니다. ../../hackable/uploads/hack.php succesfully uploaded ! 4단계 : 해당 url을 입력해줍니다. http://192.168.222.131/dvwa/hackable/uploa..

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. File Inclusion 이란 PHP 기반 웹어플리케이션에서 사용자에게 파일을 올리거나 업로드 시킬수 있게 할때 주로 발생하는 취약점이며 RFI(Remot File inclusion) 와 LFI(Local File inclusion) 로 나뉘어져 있습니다. RFI 는 " 원격파일실행 " 으로 다른 외부 서버에 있는 파일 위치의 URI 가 PHP 함수인 " include(once) 와 require(once) 같은 함수에 URL 변수값이 전달되는지를 검사하지 못할때 발생합니다. 즉 해당 취약점이 존재할경우원격으로 외부에 있는 악의적인..

※ 본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 사이트 간 요청 위조 CSRF(Cross-site Request Forgery) 상황 1) 패스워드 폼을 위조해서 이메일로 전송 2) 이메일 읽자마자 자신도 모르게 패스워드가 변경됨 해커는 관리자의 서버의 신뢰 상태를 이용하여 이메일로 정보를 위조 및 은닉해서 서버의 관리 패스워드를 변경하도록 요청하는 공격이다. # 관리자(공격 피해자) 관리자가 관리 사이트에 로그인하기 귀찮아서 로그인 상태로 유지하는 보안 취약점을 가지고 있다. # 공격자 시점 1)Burp Suite를 통해 패스워드 변경 폼을 알아낸다. CSRF 첫 화면 폼을 통해..