Security/WEB6 JWT(JSON Web Token) 틀린 부분이 있다면 언제든지 댓글 남겨주세요! JWT (JSON Web Token) 이란 [개념] - 웹표준(RFC 7519)을 따르며, JSON 객체(key-value가 한 쌍을 이룸)를 통해 정보를 전달함. - 인증을 위해 필요한 모든 정보를 한 객체에 담에서 전달. - 주로 로그인 과정에서 인증할 때 사용됨. [구조] - . (dot)을 구분자로 함 헤더(header).내용(payload).서명(signature) eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c - Hea.. 2024. 2. 27. [Dreamhack] SQL Injection bypass WAF Advanced 틀린 부분이 있다면 언제든지 댓글 남겨주세요! Dreamhack Wargame - sql injection bypass WAF Advanced (level 1) https://dreamhack.io/wargame/challenges/416/ sql injection bypass WAF Advanced Description Exercise: SQL Injection Bypass WAF의 패치된 문제입니다. dreamhack.io level 1인데 너무 헤맸다 ㅜ 이틀에 걸쳐서 풀었다 휴 포기할 뻔 했어 그래도 혼자 힘으로 풀어서 뿌듯 만약 필터링에 걸리면 아래와 같은 문자열이 출력된다. app.py 파일을 확인해보면 공백을 포함한 필요한 문자열 대부분이 필터링되어 있다.. 거기에 lower()함수를 써서 .. 2022. 9. 24. SMTP PORT 틀린 부분이 있다면 언제든지 댓글 남겨주세요! 이론 공부를 하면서 많이 봤던 SMTP에 대해 그동안 TCP 25번 포트만 알았었는데, 이번에 그라파나와 구글 메일을 연동할 때 mail server default port로 587을 많이 사용한다는 것을 알게 되었다. 그래서 SMTP가 사용하는 포트에 대해 찾아보게 되었다. SMTP(Simple Mail Transfer Protocol) : 전자우편 전송 프로토콜로 Sender → Mail Server, Mail Server → Mail Server로 메일 전송시 사용함. PORT 25 : RFC 821에서 제안되어 오랜 시간동안 SMTP default port 로 사용됨. 하지만 오래되어 보안 상 다른 포트에 비해 취약. 대부분의 ISP 및 클라우드 호스.. 2022. 7. 1. 아파치 톰캣 (Apache and Tomcat) 틀린 부분이 있다면 언제든지 댓글 남겨주세요! 아파치 (Apache) - port 80 - 흔히 사용하는 아파치란 아파치 소프트웨어 재단에서 관리하는 크로스 플랫폼 HTTP 웹 서버(Web server). - 여러 운영체제에서 동작이 가능하며, 80번 포트인 클라이언트 요청에 의해 정적인 데이터(HTML, CSS, 이미지)를 처리하는 웹 서버. * 웹 서버 = 클라이언트가 POST, GET, DELETE 등의 메소드를 이용해 요청한 것을 받아 그 결과를 돌려주는 기능. ex_ Apache사의 Apache, Microsoft사의 IIS 등 (하드웨어에서 웹 서버란 웹 서버 소프트웨어와 웹 사이트의 구성 요소 파일을 저장하는 컴퓨터 ex_HTML문서, 이미지, CSS 스타일 시트 및 JS파일) - 장점: 처.. 2022. 7. 1. WebGoat 실습 ② 자동화 스크립트 틀린 부분이 있다면 언제든지 댓글 남겨주세요! Blind Numeric / String SQL injection 자동화 스크립트 만들기 - 웹크롤링 이용해서 파이썬으로 자동화 (세션 꼭 넣기) - python 3.8, vscode, burpsuite사용 웹크롤링- request: 웹상의 데이터를 처리할 때 필요한 모듈 - BeautifulSoup: 웹언어를 가독성 좋게 보여주는 모듈 1. Blind Numeric SQL injection 자동화 스크립트 pins테이블에서 cc_number가 1111222233334444인 행의 pin값을 찾는 것 Invalid라고 했으므로 10000보다 작은 수임을 알 수 있다. 이런식으로 값을 유추하는 방식이다. 일일이 값을 바꾸며 찾기에는 한계가 있으므로 자동화 스크.. 2020. 8. 31. WebGoat 실습 ① 설치 및 injection 문제 풀이 틀린 부분이 있다면 언제든지 댓글 남겨주세요! WebGoat 프로그램 준비 및 실습 - webgoat: Web Proxy Tool. - proxy: client와 server간 데이터 중계. client PC내에는 로컬 프록시, 외부에는 리모트 프록시가 있음(원격 프록시 서버를 이용하면 클라이언트의 IP주소를 숨길 수 있음) 설치 JDK 파일 준비 Oracle site -https://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html webcoat를 설치하기 위해서는 7버전을 설치해야 함! 설치후 컴퓨터의 고급 시스템 설정 > 고급 > 환경변수 > PATH 새로만들기를 클릭하여 JAVA bi.. 2020. 8. 27. 이전 1 다음 728x90 반응형
