HW_chick hacker

SQL Injection ?DB와 연동된 웹 애플리케이션에서 공격자가 입력폼 또는 URL 입력란에 SQL 구문을 삽입하여 DB를 조작할 수 있는 취약점클라이언트 측에서 입력된 신뢰할 수 없는 데이터가 SQL 쿼리 로직의 일부로 해석되어 DB에서 실행되는 공격 low 단계  1' and '1'='1 1' and '1'='2 참과 거짓을 나눠 sql구문을 넣어 출력 값을 확인한다. 1' order by 2-- # 참1' order by 3-- # 거짓칼럼 수는 2개이며 3개로 되었을 시 거짓이 되어 오류페이지가 나온다. 1' UNION ALL SELECT 1, 2-- 칼럼 두개에 1과 2를 출력하면 "First name", "Surname" 각각 출력된다 1' UNION ALL SELECT version..

Command Injection 이란? Command Injection 취약점은 취약한 애플리케이션을 실행 중인 서버에서 임의의 운영체제 명령을 실행할 수 있는 취약점을 의미한다.이 취약점이 존재할 경우 애플리케이션을 구동하고 있는 시스템 계정의 쉘 권한을 획득한 것과 같기 때문에 위험도가 높은 취약점 중 하나이다.  low 단계 IP를 입력하는 곳에 IP를 넣으면 ping 테스트를 한다.여기서 박스안에 코드를 유추 할 수 있다. ping -c 3 {IP} ping은 3개만 보내고 종료가 되고 있다. ' or " 두개로 함수가 묶여 있을거 같아 탈출하고 리눅스 명령어를 삽입해보겠다. 8.8.8.8'; ls -al탈출 시키고 리스트 목록을 검색하면 위 그림과 같이 프론트 단에서 리눅스 서버 쉘을 볼 수 있..

반사된 XSS 실습 low 단계test 입력 시 "Hello test" 로 출력된다. http://웹 주소/dvwa/vulnerabilities/xss_r/?name=test#해당 name값에 그대로 들어가며 기본적인 script 알림 구문을 넣어보겠다. 태그 안에서 "와 같이 사용하려면 최소 10자 이상을 작성해야하기 때문에 불필요한 입력 문자 수가 길 필요가 없는 입력 필드는 길이를 제한하여야 한다.-> 클라이언트 측에서 maxlenth 속성을 삭제하여 우회 할 수 있기 때문에 데이터베이스에서도 길이 제한을 적용해야 한다. - 보안 라이브러리(AntiXSS, OWASP 등)을 사용하여 개발한다.

웹 해킹 초보자의 DVWA실습을 시작해 볼려고 합니다Brute Force 문제 풀이를 해 보겠다.😎  Brute Force 란?brute: 무식한 +  force: 힘    무식한 힘으로 해석할 수 있다. 즉, 가능한 모든 경우의 수를 모두 탐색하면서 요구조건에 충족되는 결과만을 가져온다.이 알고리즘의 강력한 점은 예외 없이 100%의 확률로 정답만을 출력한다. Burip Suite 툴을 활용해 공격해 보겠다.해당 payload type을 Brute forcer 기능으로 대입하며 공격하면 시간이 오래 걸리니 리스트를 추려서 공격해 보겠다.  툴을 활용해서 공격하는 것을 경험을 쌓아보기 위한 것이 목적이다. 해당 내용을 보면'사용자는 종종 약한 비밀번호를 선택합니다. 안전하지 않은 선택의 예로는 사전에서..

쿠버네티스 도커 실행파드 및 서비스 배포로드밸런서, 네임스페이스 적용 로드밸런서, 네임스페이스 적용 로드 밸런서는 들어오는 네트워크 트래픽을 여러 서버나 인스턴스에 고르게 분산시킵니다. 이를 통해 단일 서버에 과부하가 걸리는 것을 방지하고, 전체 시스템의 성능을 최적화할 수 있습니다. 그러기에 많은 디플로이먼트를 적용해 배포하는데는 적합합니다.  Q: 왜 디플로이먼트를 사용해 파드 수를 늘릴까?디플로이먼트 파드 수 관리 많은 사용자를 대상으로 웹 서비스를 하려면 다수의 파드가 필요한데, 이를 하나씩 생성하면 매우 비효율적이다.쿠버네티스에는 다수의 파드를 관리하는 레플리카셋 오브젝트를 제공합니다.  레플리카셋을 통해 3개의 파드를 생성하면 매니저와 스케줄러가 워커 노드에 파드 3개를 만들도록 선언합니다. ..

쿠버네티스 도커 실행파드 및 서비스 배포로드밸런스, 네임스페이스 적용 쿠버네티스(Kubernetes) 클러스터는 컨테이너화된 애플리케이션의 배포, 확장 및 관리를 자동화하는 오픈 소스 플랫폼입니다. 쿠버네티스 클러스터의 구조는 여러 컴포넌트로 구성되어 있으며, 각 컴포넌트는 특정 역할을 담당합니다.쿠버네티스 클러스터 안에 있는 노드에는 파드를 구성하고 그 안에 컨테이너를 구성해 웹 서비스를 도커에서 가져와 구축 및  제어 하는 구조로 되어 있다. 현재 구축한 쿠버네티스는 빨간 박스가 마스터 노드이며 3개의 워커노드를 가지고 있다.  1. 쿠버네티스 도커 실행쿠버네티스 마스터 노드에서 도커를 먼저 실행해 보겠다. nginx와 비박스를 설치해 보고자 한다.docker run  -itd -p 81:80 --n..

쿠버네티스 환경 구성 및 설치1. 베이그런트(Vagrant) 설치https://www.vagrantup.com/ Vagrant by HashiCorpVagrant enables users to create and configure lightweight, reproducible, and portable development environments.www.vagrantup.com   2. 버추얼박스(VirtualBox) 설치https://www.virtualbox.org/ Oracle VM VirtualBoxWelcome to VirtualBox.org! News Flash New May 3rd, 2024VirtualBox 7.0.18 released! Oracle today released a 7.0 ma..

드림핵 - Batch Checker- 문제 파일을 실행 시키면 이와 같은 화면만 출력 된다. - 메모장으로 코드들을 확인 하면 SET, CLS 환경변수를 특이 사항으로 볼 수 있다. SET 명령은 기본적으로 사용하도록 설정 된 명령 확장이며 다른 매개 변수 없이 사용하는 경우 설정 현재 환경 변수 설정을 표시가 가능하다. (배치 파일 .bat을 실행하는 매개변수들을 실행 시키는 것으로 예상) CLS 명령 콘솔 화면에 있는 모든 명령어 들을 지워주는 명령어 이다. 메모장에서 순서를 보면 SET을 통해 .bat이 실행 됬지만 CLS 명령 아래 있는 명령어들은 실행이 안된다는 것으로 생각 할 수 있다. 터미널 창에 문자열이 출력될 것으로 추측이 되어 echo 함수를 사용하여 문자열을 출력 할 수 있다고 판단했..