HW_chick hacker

- Node.js를 이용해 웹 페이지 제작 후 SQL Injection을 이용한 테이블 삭제1. Node.JS + MySQL을 이용하여 간단한 웹 페이지 제작(시큐어코딩 x)2. form, input, button 태그 활용3. 웹서버 오픈을 위한 Express 모듈 활용 및 Mysql DB 연동4. 다중쿼리 설정5. SQL Injection을 활용한 DROP TABLE 사용 1. SQL Injection이란? (기초)사용자의 입력값이 서버측에서 코드로 실행되는 '코드 인젝션'  공격 기법 중 하나이며, 서버의 데이터베이스를 대상으로 하는 공격이다. 공격의 핵심은 클라이언트 측에서 SQL 쿼리에 신뢰할 수 없는 데이터가 입력되었을 때, 데이터가 쿼리 로직의 일부로 해석되어 DB에서 실행될 때 발생한다. ..

- Node.js를 이용해 웹 페이지 제작 후 SQL Injection을 이용한 테이블 삭제1. Node.JS + MySQL을 이용하여 간단한 웹 페이지 제작(시큐어코딩 x)2. form, input, button 태그 활용3. 웹서버 오픈을 위한 Express 모듈 활용 및 Mysql DB 연동4. 다중쿼리 설정5. SQL Injection을 활용한 DROP TABLE 사용 1. 웹 서버 구축 - 프론트엔드기능 구현: 이름, 주소 입력란을 만들어 데이터를 제출하는 형식으로 만들기 - login.html My To-Do App 이름 주소 로그인 -> 힌트에서 , , 기능을 활용  태그-> 웹 페이지에서의 입력 양식을 의미 하며 실제로 백엔드 코..

어셈블리어란?기계어와 일대일 대응이 되는 컴퓨터 프로그래밍의 저급 언어이다.컴퓨터 구조에 따라 사용하는 기계어가 달라지며, 다라서 기계어에 대응되어 만들어지는 어셈블리어도 각각 다르게 된다. 컴퓨터 CPU마다 지원하는 오퍼레이션의 타입과 개수는 재각각이며, 레지스터의 크기와 개수, 저장된 데이터 형의 표현도 각기 다르다. CPU 레지스터 종류: 범용 레지스터, 상태 레지스터, 플래그 레지스터- 레지스터: CPU내부의 기억장소로 PC가 정보를 처리하기 위해서는 정보가 특정한 셀에 저장되어야 한다. 레지스터들은 8 또는 16비트 플립-플롭 회로들의 집합이다. 플립-플롭 회로란 두 단계의 전압으로 정보를 저장할 수 있는 장치이다.1. 데이터 레지스터- 데이터 레지스터는 각종 데이터 처리를 대상으로 하는 32비..

HTTP request smuggling이란?HTTP 1.1을 사용하는 Front-end 서버와 Back-end 서버로 이루어진 웹 어플리케이션을 대상으로하여, 변조된 패킷을 일반 사용자가 접근할 수 없는 Back-end 서버로 직접 보내 중요 정보 획득, XSS 공격 유도, 서버 웹 캐시 포이즈닝 등의 공격을 수행할 수 있습니다.패킷은 Content-Length, Transfer-Encoding: chunked 헤더 등을 변조하여 Front-end 서버와 Back-end 서버가 패킷의 길이를 다르게 해석케 할 수 있으며, 다른 패킷을 포함할 수 있습니다.Bacj-end 서버에서 악의적으로 포함된 패킷을 해석할 경우에 공격이 가능합니다. Content-LengthContent-length는 아래 패킷과 ..