전체 글
-
2주차 과제웹 해킹 2024. 4. 28. 20:24
2주차 과제 회원가입 페이지를 만들고 기능구현 후, 1주차에 만든 로그인 페이지와 db를 연동해 로그인할 수 있도록 만들기 먼저 sign up 페이지를 만들었다. bootstrap의 코드를 이용해서 수정하였다. form은 POST method를 이용하고 action은 자기자신에게 보내도록 했다. input태그의 name은 각각 name, password, city로 했고 다 required 태그를 추가했다. 또한 button을 누르면 전송되도록 설정했다. 그리고 가장 위에 이 코드를 추가했다. POST로 받은 name이 존재하면 if문 안의 코드가 실행된다.user라는 테이블을 이미 만들어 놨다. 그 table의 column은 idx, name, password, city로 구성되어있다. 그래서 sq..
-
2주차 수업 정리웹 해킹 2024. 4. 28. 17:29
복습 시간에 말씀해 주신 것들 중에 몰랐던 것 1. docker 컨테이너 삭제할 때 id의 앞 두글자만 입력해도 삭제 됨.2. header()함수로 http 헤더에 특정 값을 설정 가능. 예를 들면 location도 지정할 수 있는데, header("location:login.php");로 설정해서 특정 path로 이동할수 있게 할 수 있음. 그리고 만약 내가 로그인이 되었는지 안되었는지 확인한 후에 만약 되지 않았다면 특정 path로 이동한다고 할때, header함수 뒤에 exit;을 써서 본 코드가 노출되지 않도록 해야한다. Burp suite으로 확인해본 결과, exit을 쓰지 않았을 때는 로그인이 되지 않음에도 불구하고 코드가 노출되어 보안상 위험이 있었다. 실제로 모의해킹에 이런 취약점이 많이 ..
-
-
Docker 실행파일 분석리눅스 2024. 4. 20. 22:56
모의해킹 1주차에 주어졌던 가상머신에서 서버를 열때 사용했던 dockerCMD 파일에 들어있던 명령어를 분석해보려고 한다. 내가 알고 있는 정보는 1018번 포트가 열렸었고, webApp이 웹루트 경로가 되었었다. sudo docker run -p "1018:80" --name studentWeb -v ${PWD}/webApp:/app -v ${PWD}/mysql:/var/lib/mysql mattrayner/lamp:latest-1604-php7 'sudo docker run'이라는 명령어는 docker의 명령어로, 컨테이너를 실행하는 역할을 한다. root 계정이 아니라 일반 사용자 계정으로 실행하기 때문에 sudo로 root 권한을 얻어 실행한다. 물론 root 계정의 비밀번호도 필요하다. '-p ..
-
1주차 수업 정리웹 해킹 2024. 4. 19. 00:25
웹 서버에 대해서 배우면서 준비된 가상머신에 설치된 서버로 실습을 진행했다. 실제로는 스스로 리눅스에 APM을 설치해서 서버를 돌리면 더 좋지만 아직 구축하지 못해서 부득이하게 선생님께서 준비해주신 가상머신으로 진행했다. 나는 M1 맥북을 쓰고 있는데 제공해주신 ova 파일을 fmware fusion으로 import해보니 아키텍쳐가 x86 전용이라 열리지 않길래, 일단 내가 갖고 있는 인텔 맥북으로 먼저 설치를 한 후에, 가상머신 네트워크를 bridge로 설정해서 m1 맥북에서도 접속 가능한 ip를 획득하게 만들었다. 그래서 m1 맥북에서 terminus를 통해 무리 없이 ssh 접속을 했다. (서버를 따로 구축하기 전에는 이렇게 번거롭게 해야할 것 같다. m1맥북에서도 x86 전용 os를 돌릴 수 있는..