분류 전체보기257 lord of sql injection 3번 - goblin 이번에는 no에 쿼리값을 넣어서 패스해야할 것으로 보입니다. preg match에 ' " 특수문자를 필터링했기 때문에 사용할수가 없겠네요 우선 no 값에 0을 넣어봤는데 아무 반응이 없네요 no 값에 1을 넣었더니 hello guest가 떴습니다. 이것이 id='guest' and no=1 인것을 보았을때 and 구문이 들어간다는 것은 계정마다 배정된 no가 있다는 것이고 guest의 no는 1인것을 알 수 있습니다. 그렇다면 admin의 no를 호출해야겠네요. 우선 id=admin이 될지 시도해봅니다. and no=0으로 뒤에 구문을 거짓으로 만들면 or 구문에 들어갈 쿼리문을 체크하겠죠 '를 hex 인코딩하여 0x27로 넣어봤지만 안되네요. 아무래도 no를 호출하는 방법으로 해야할것 같습니다. adm.. 2023. 12. 21. lord of sql injection 2번 - cobolt pw에 md5가 붙어있어 해시를 풀어야하는지 고민했는데 이건 상관 없는 부분입니다. 2번 문제를 보니 밑에 result['id'] == 'admin' 이란 구문을 보니 id 값만 admin으로 넘겨주고 나머지 주석처리를 해주면 될거같네요. admin'--+- 를 넣어주니 해결 2023. 12. 21. Google Dorking 기반 GRecon 도구 설치 중 에러 해결 평소처럼 pip install -r requirements.txt 설치하고 GRecon 도구를 실행하는데 에러가 발생 첫번째 에러. ModuleNotFoundError: No module named 'readline' 이는 readline 모듈이 없어서인데 여기서 pip install readline을 해도 정상 동작하지 않았다.. 검색해본 결과 pip install pyreadline 설치하니 해결! 두번째 에러. AttributeError: module 'collections' has no attribute 'Callable' 이는 찾아보니 Python 3.9 이전 버전과 3.10 이후 버전에서 collections 모듈 명이 변경되어서 발생한 오류이다. 3.9로 다운그레이드 하는 방법도 있지만 귀찮.. 2023. 12. 20. 정보보안산업기사 실기 공부본 1) 기밀성 - 인증을 받은 사용자 만이 정보 자원에 접근할 수 있도록 하는 것. 무결성 - 정보 자원에 대한 정확성, 완전성을 보호한다. 가용성 - 필요 시 허가된 사용자가 바로 접근할 수 있도록 하는 것. 인증 - 이용자에 대한 신원을 확인하는 것 부인방지 - 행위에 대해 향후에 부정하는 것을 방지하는 것 책임 추적성 - 각 개인은 유일하게 식별되어져야 하며, 행위에 대한 책임을 부여한다. 2) 벨라파둘라 모델 - 기밀성을 강조한 모델로써 No read up과 No write down 정책을 적용한다. 비바 모델 - 상업적 무결성을 강조한 모델로써 No write up과 No read down 정책을 적용 3) FIDO의 3가지 주요 프로토콜 Authenticator Registration -.. 2023. 12. 14. 이전 1 ··· 41 42 43 44 45 46 47 ··· 65 다음
