공부용

문제 설명 로그인 서비스입니다.SQL INJECTION 취약점을 통해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.   *참고 사항 : 이번 문제는 Dreamhack 학습의 Web Hacking의 SQL Injection 파트를 읽으면서 풀었다.   사이트 접속해 보니까 사진과 같은 로그인하는 기능만 있었다. 코드 확인우선 database.db 파일로 데이터베이스를 관리하고 있는 것을 확인할 수 있다. 데이터 베이스의 구조 : 테이블 형식이고 아래와 같다.useriduserpasswordguestguestadmin랜덤 16바이트 문자열을 Hex 형태로 표현(32 바이트) GET : userid와 userpassword를 입력할 수 있는 페이지 제공.POST : 데이터베이스에 ..

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」 악성코드 : 악의정인 행위를 하는 코드로, 실행 파일/스크립트/코드 또는 다른 유형의 소프트웨어 형태가 될 수 있다. 악성코드가 수행하는 악성 행위 예시 :컴퓨터 연산 방해 / 개인, 비즈니스, 재무 데이터를 포함한 민감 정보 훔치기 / 표적 시스템에 무단으로 접근하기 / 표적을 감시하기 / 스팸 이메일을 보내기 / 분산 서비스 거부(DDoS, Distributed-Denial-of-Service) 공격에 참여하기 / 컴퓨터에 있는 파일을 잠금 후 대가 요구하기  악성코드의 분류1) 기능과 공격 벡터를 기준으로 분류한 악성코드 바이러스(Virus) 또는 웜(Worm) : 자가 복제하고 다른 컴퓨터로 확산하는 기능을..