728x90 webhacking4 Burp Suite: Server-side vulnerabilities (Part 6) SQL Injection 드디어 Server-side vulnerabilities의 마지막 단계, SQL Injection이다! SQL injection (SQLi)은 웹 보안 취약점으로, 공격자가 애플리케이션이 데이터베이스에 보내는 쿼리(Query)를 조작할 수 있다. 원래 접근할 수 없는 데이터를 볼 수 있다 (민감 data) 공격자는 데이터를 수정하거나 삭제할 수도 있고, SQLi를 통해서는 서버 자체, 백엔드 인프라 탈취가 가능해져 Dos 공격까지 가능해진다. 애플리케이션의 모든 entry point에 대해 체계적인 테스트를 수행해 SQLi를 수동으로 탐지할 수도 있다.작은 따옴표 ' 입력product?id=1'에러 메시지나 비정상적인 동작이 발생하는지 확인 → '는 SQL 문법을 깨트릴 수 있어서 오류 메시지가 발생하면.. 2025. 6. 21. THM: Intro to SSRF Jr Penetration Tester > Introduction to Web Hacking > Intro to SSRF SSRF = Side Request항목SSRFRFI뜻서버가 공격자가 지정한 URL로 요청을 보내도록 유도서버가 공격자가 지정한 URL의 파일을 include(포함) 하도록 유도목적내부망 접근, 메타데이터 조회, 포트스캔, 내부 서비스 공격외부 파일을 서버에 포함/실행하여 명령 실행 등이용 함수curl, file_get_contents(), fetch() 등 요청 관련 함수include(), require() 등 파일 불러오는 함수주요 피해- 내부망 접근 (ex. 127.0.0.1:8000) 핵심 차이점구분SSRFRFI서버가 요청하는가?✔️ 서버가 요청만 함 (데이터 가져오기)✔️ 요.. 2025. 6. 8. webhacking 38번 문제 현생사느라.. 1달만에 다시 풀이 시작 ㅠ 1달 안했는데 벌써 다 까먹은 느낌이다. LOG INJECTION 이라고 적혀있다. 개발자 도구엔 이렇게 적혀있음. url 뒷부분에 admin.php를 입력해서 들어가봤다. admin으로 접속하라고 한다. 그리고 아래는 접속 log 같은게.. 적혀있는듯 입력창에 admin이라고 입력하면 you are not admin이라고 한다. 이때 사용할 수 있는건 CR-LF CR은 Carriage Return, LF는 Line Feed다. 예전에 다른 문제에서도 본 거 같은데.. \r\n이게 CF, LF다. CF는 커서를 그 줄 맨 앞으로 옮기는거, LF는 커서는 그대로, 줄만 한 줄 올리는걸 뜻한다. 그.. http에서 흔히 쓰는 공격 방법. 사진에서도 볼 수 있듯이 [.. 2022. 10. 13. Webhacking.kr old 1번 문제 풀이 오늘부터 Webhacking.kr 문제를 풀어볼 것이다. 문제는 총 75문제.. 중간에 오류난 문제가 몇 개 있다고 들었는데 어쨌든 도전 웹 해킹 문제 취약한 사람.. 일단 2022. 8. 21. 이전 1 다음 728x90
