공부용

문제 설명여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.플래그 형식은 DH{...} 입니다.  *참고 사항 : 이번 문제는 Dreamhack 학습의 Web Hacking의 Cross-site-Scripting (XSS) 파트를 읽으면서 풀었다.  코드 분석을 해보자.vuln : xss-1과 다르게 바로 param을 return하지 않고, render_template 함수를 사용한 값을 반환한다. 즉, 이전 xss-1과 같은 방법을 사용해서 문제를 푸는 것은 불가능하다.render_template : HTML 템플릿 파일을 렌더링한다. 즉, 이용자가 입력한 값을 그대로 반환하지 않도록 해준다...

문제 설명여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.플래그 형식은 DH{...} 입니다.  *참고 사항 : 이번 문제는 Dreamhack 학습의 Web Hacking의 Cross-site-Scripting (XSS) 파트를 읽으면서 풀었다. 코드 분석을 해보자./vuln : 이용자가 전달한 param 값을 출력/memo : 이용자가 전달한 memo 값을 render_template 함수를 통해 기록하고 출력/flag : GET - 이용자에게 URL 입력받는 페이지 제공 / POST - params에 값과 쿠키에 FLAG를 포함해 check_xss 함수를 호출, check_xss는 read..

프록시재킹(Proxyjacking) 공격 : 사용자의 동의 없이 프록시웨어를 설치해 감염 대상 시스템의 인터넷 대역폭 일부를 외부에 공유하는 방식으로 공격자들이 수익을 얻는 공격 방식*프록시웨어(Proxyware) : 설치된 시스템에서 현재 사용이 가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램예시 : IPRoyal, Peer2Profit, Traffmonetizer, Proxyrack, PacketStream 등 프록시재킹-크립토재킹 차이 : 크립토재킹은 프록시웨어 대신 코인 마이너를 설치하고, 암호화폐를 채굴한다.  이번에 살펴볼 사례 : 프리웨어 소프트웨어 사이트의 광고 페이지를 통해 프록시웨어가 설치됨. 그러나 이전과는 다르게 "넷링크 커넥트"라는 이름으로 서명됨. 분석 결과, 과거 프록시재..

문제 설명 쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다.admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다.플래그 형식은 DH{...} 입니다.  *참고 사항 : 이번 문제는 Dreamhack 학습의 Web Hacking의 Cookie & Session 파트를 읽으면서 풀었다. 주어진 사이트에 들어가 봤다. f12를 눌러 소스를 살펴봐도 별다른 힌트는 없었다. 파이썬 코드를 살펴보자. 쿠키의 sessionid의 값을 통해 session_storage에서 해당 session id의 username을 조회(주석참고)한다. username이 admin이면 FLAG를 출력하는 것을 볼 수 있다.  /admin 경로를 타면 session_storage를 반환해 주는 것을 볼 수 ..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기4. NTFS5. 디지털 포렌식 관점에서의 파일 시스템 분석6. 파일 복구4. NTFS1) NTFS 소개NTFS(New Technology File System) : 윈도우 NT부터 사용되기 시작한 파일 시스템USN 저널(Update Sequence Number 또는 Change Journal) : 파일의 변경 내용을 기록하는 로그, 오류 발생 시 시스템이 재부팅될 때 완료하지 못한 작업을 복원한다.ADS(Alternate Data Stream) : Sparse 파일 : 파일의 데이터가 0일 때, 실제 데이터를 기록하지 않고 크기 정보만 유지하는 파일파일 압축EFS(Encrypting File ..

사이트에 들어갔더니 이런 화면이 떴다. f12 눌러보니까 아래에 주석으로 힌트가 써져 있음. SuNiNaTaS라고 적혀있는 건 무슨 힌트인지 모르겠지만 포인트를 50으로 만들면 될 것 같았다. 그러나 버튼을 아무리 눌러도 25가 최대였다. 곰곰이 생각해 봤는데, 뭔가 User-Agent라고 적힌 게 괜히 있는 게 아닐 것 같았다. User-Agent : HTTP 요청을 보내는 디바이스와 브라우저 등 사용자 소프트웨어의 식별 정보를 담고 있는 request header의 한 종류  검색해 보니까 이렇게 나왔고, 그 예시들을 둘러보니까 접속한 브라우저에 따라 user-agent가 달라진다는 것을 깨달았다. 그렇다면 위의 plus 버튼을 눌렀을 때 나오는 문구(오른쪽 사진)가 SuNiNaTaS를 현재 접속한 ..

AI 반도체의 개념기존의 반도체인 CPU와 GPU도 AI 데이터를 처리할 수 있다. 그러나 효율적인 AI 데이터 처리를 위해서는 AI 데이터 만을 전문적으로 연산하는 반도체가 필요하다. NPU는 이러한 이유 때문에 등장했다. AI 반도체 : GPU, NPU, TPU 등으로 구분하며, 또 다른 AI 반도체로는 PIM이 있다.  CPU(Central Processing Unit) : 하나의 칩에 연산 장치와 해독 장치, 제어 장치 등이 집적돼 있음. 사용자로부터 입력받은 명령어를 해석하고 연산한 후 그 결과를 출력함.GPU(Graphics Processing Unit) : 연산 결과를 그림이나 글자 신호로 변환해 모니터에 출력함. 예로는 게임의 3D 그래픽, 각종 광원 효과 및 질감 표현의 처리가 있음.NP..

리서치 기관 가트너(Gartner)가 발표한 '10대 전략 기술 트렌드(Top 10 Strategic Technology Trends)' 2025년 10대 전략 기술 트렌드에서는 '인공지능(AI)의 컴퓨팅 기술이 기업의 미래에 끼칠 영향'에 대해 중점적으로 다뤄졌다. AI의 필요성과 위험, 컴퓨팅의 새로운 개척지, 인간과 기계의 시너지와 같은 3가지 테마를 기반으로 한 10가지 전략 기술이 떠오를 것으로 제시됐다. 3가지 테마에 속한 세부 전략 기술들 1. AI의 필요성과 위험(AI Imperatives and Risks)에이전틱 AI(Agentic AI) : 사용자가 정의한 목표를 달성하기 위해 자율적으로 계획하고 실행하는 AI 시스템, 업무 부담 완화 및 보강 AI 거버넌스 플랫폼(AI Governa..

해당 문구 외에는 f12를 눌러봐도 별다른 힌트가 없었다. 그래서 문구가 시킨대로, 써니나타스 사이트의 Notice탭으로 가봤다. 그러나 Notice탭에는 글쓰는 기능이 없었다. 혹시나 해서 f12를 눌러봤지만 마땅히 힌트를 찾아내진 못했다. 다른 탭을 눌러보니, FREE에는 Write버튼이 있었다. 이와 같이, 링크에서의 차이가 /write가 더해지는 것 외에는 차이가 없었다. 이를 Notice탭에도 적용해 본다. 그러면 글쓰기 화면이 나오고, 아무 글이나 작성해 본다. Authkey 값을 무사히 구했다. 개인 공부 목적으로 작성된 글이며, 틀린 정보나 해석이 있을 수 있음. http://suninatas.com/challenge/web03/web03.asp Game 03 suninatas.com

Id와 Password를 입력하는 창이다. 바로 f12를 눌러서 코드를 확인해 봤다.  Join을 눌렀을 때 chk_form()이 실행되고 chk_form()은 아래와 같다. id와 pw가 같으면 You can't join! Try again이라는 문구를 보여주고, id와 pw 값을 초기화한다. 반대로 id와 pw가 다르면 제출한다.그런데 힌트에서는 id와 pw의 값이 같아야 한다고 한다. 그러므로 id와 pw에 같은 값을 입력한 후 제출하도록 하면 되는 것이다.id와 pw에 각각 1로 같은 값을 넣어주고, Console에는 else 시에 썼던 것과 같은 코드를 입력해봤다. 그러면 정상적으로 Authkey값이 나온다.  개인 공부 목적으로 작성된 글이며, 틀린 정보나 해석이 있을 수 있음. http://..