묻고 답해요
130만명의 커뮤니티!! 함께 토론해봐요.
인프런 TOP Writers
-
미해결모의해킹 실무자가 알려주는, SQL Injection 고급 공격 기법 : PART 2
섹션 1 5번째 강의 질문
거의 마지막 부분에서 다중 레코드 반환 쿼리문 작성때union 을 이용하셨는데그냥 select 1, 2 from dual 이런식으로 하면 안 되나요?
-
미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
php 버전 호환 문제
자료에 있는 APM Setup의 php 버전은 5.xx인데강의에서 mssql과 호환되는지 테스트 할 때connect 관련 함수를 php 5.xx에서는 사용 못하고7.xx부터 사용된다는데 버전 업그레이드를 어떻게 하나요?구글에 검색해서 나오는 php.ini 파일과 PHP5 파일을 바꾸는 법 했는데그렇게하면 아파치 접속 자체가 안 되네요
-
해결됨웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
질문이 있습니다. 기존 질문 글들을 다 읽어보아도 안됩니다.
location.href='index.php?page=error&value={$page}';"; } ?>이와 같은게 떠서 short_open_tag = On으로 바꾸었는데도 계속 같은 현상이 발생합니다..저는 참고로 알려주신 mamp를 다운받아서 하고 있습니다. 그리고,<?php header("Content-Type: text/html; charset=UTF-8;"); $tb_name = "insecure_board"; $upload_path = "upload"; function mysql_conn() { $host = "127.0.0.1"; $id = "root"; $pw = "root"; $db = "information_schema"; $db_conn = new mysqli($host, $id, $pw, $db); return $db_conn; } ?>이것도 맞는지 궁금합니다.빠른 답변 주시면 감사하겠습니다.
-
미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
SQL이나 XSS 실습 서버
저 포함해서 적지 않은 분들이 실습환경 구축에서 어려움을 느끼고 XSS에서는 심지어 비트나미가 이제 사용하지 못하는데실습서버를 열어주실 생각은 없으신가요?
-
미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
mysql 연결연산자 질문드립니다.
안녕하세요.이전에 강사님이 써주신 답변을 통해,mysql에서의 공백은 사실 공식적으로는 연결 연산자는 아니며 구문을 구분해주는 역할을 하는 것이라고 참고하였습니다. [실습4-1] 환경 분석 실습에서 위와 같이 %2b를 통해,MSSQL의 연결 연산자인 +를 테스트해보았는데 결과가 잘 출력됩니다.-> 실행 페이로드 : ?idx=13+and+'test'='te'%2b'st'이런 경우 연결 연산자로 판단하는 관점에서는 mysql과 MSSQL을 혼동할 여지가 있는 것 같은데,True로 쿼리가 실행되는 이유가 궁금합니다.항상 좋은 강의 감사합니다.
-
미해결AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안
L4의 HASH 방식을 대체하는것이 가능한지요?
안녕하세요. WAF, LB 셋팅시 APP의 세션 공유하기가 어려워서, 로드밸런싱보다는 LB 셋팅할때 접속자 주소를 HASH 해서 특정 서버로만 밀어 주도록 설정할 수도 있을까요?
-
미해결무작정 따라하며 원리를 깨우치는 웹 해킹 : WebGoat 편
SQL 인젝션 mitigation 마지막 ip 추론 문제 풀이에서
order by 절 뒤에 select 를 이용한 다중쿼리는작성하지 못한다는 답변을 챗GPT로부터 받았는데,GPT는 order by 뒤에 union을 이용한 공격은 가능하다고 하지만 왜 실제로 문제에선 union을 이용한 공격은 적용되지 않는 것일까요?
-
해결됨파일 업로드 취약점 고급 공격 기법 PART2 [통합편]
첨부 파일은 어디에서 다운로드 받을 수 있나요?
상단에서 첨부 파일을 다운로드 받을 수 있으시다고 하셨는데 없는 것 같아서요. 어디서 다운로드 받을 수 있나요?
-
미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
nc.exe 와 windows 11 실시간 보호기능 관련
windows 11에서 실시간 보호 기능을 꺼도, nc.exe -lvp 9999 하는 순간 해당 exe 파일을 제거하더라고요. 보안 설정에서 특정 폴더의 검사를 제외하는 식의 설정이 있어야 합니다. (이런 부분을 강의에서 추가 섹션으로 언급해 주시면 좋을 것 같습니다.) 그리고 그렇다면 실제 공격(?) 시나리오에서는 windows 보호 기능으로 인해 이런 통신 프로그램 들을 차단할 텐데, 공격자가 독자적인 프로그램을 개발해서 윈도우의 탐지를 우회해야 하는 것인지? 궁금하네요. 대부분의 exe가 smartscreen 등을 통해 차단되고 그러는 시대에 어떠한 방식이 적절한지 궁금합니다. 요새는 LOTL 같이 Windows에 내장된 powershell 등을 최대한 활용하는 방식이 흔하다고 들었습니다.스크립트를 사용한다 하더라도 서비스를 띄우는 순간 포트 리스닝을 허용을 해야 하던데 이런 부분들은 어떻게 우회하는지 궁금합니다.
-
미해결모의해킹 실무자가 알려주는, XSS 공격 기법
board 접속시 에러가 납니다
board 접속시 이미 로그인 된 상태로 나오며 location.href='index.php?page=error&value={$page}';"; } ?>라는 에러메세지가 출력되고 join, mypage등 아무것도 보이지 않습니다. 문제 해결을 위해list.php의 30줄에 result=db_conn->query($query) or die($db_conn->error); 구문을 추가하였으며common.php의 pw는 변경한 상태입니다
-
미해결버그헌팅과 시나리오 모의해킹 전문가 되기
zenmap 설치 오류
안녕하세요.zenmap 설치 진행 시 2개파일(gtk2, gobject)에서 오류가 발생하며 문의드립니다오류내용은 아래 이미지를 첨부하였습니다.이전 커뮤니티 질문글을 보니 설치된 이미지파일을 공유해주신 것으로 보이는데 현재는 접속이 불가한 상태입니다.혹시 저에게도 공유해주실 수 있는지 아니면 다른 해결방안이 있는지 문의드립니다.
-
해결됨버그헌팅과 시나리오 모의해킹 전문가 되기
kioptrix 시리즈 다운로드 받을 때 오류가 떠서 다운로드가 불가합니다.
01 ) 다운로드 시도02 ) 접근 불가이 경우 어떻게 해야하나요..?아래 Mirror 버전으로 다운로드는 가능했으나 vm웨어로만 구동되는 것 같습니다.. 혹시 제가 놓친 부분이 있을까요 .. ?
-
해결됨버그헌팅과 시나리오 모의해킹 전문가 되기
NAT 네트워크 IP 대역대로 설정되지 않는 현상
- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요. nat 네트워크 ip대역을 192.168.0.0/24로 설정 후 네트워크 어댑터 설정도 NAT 네트워크로 설정하였으나 kali 리눅스 접속 후 ifconfig로 확인 시 eht0 ip가 10.0 대역대로 잡힙니다. 혹시 설정을 추가로 해야하는 사항이 있나요?
-
해결됨모의해킹 실무자가 알려주는, 파일 다운로드 취약점 공격 기법과 실무 사례 분석
33강 [실습4-1] 실무 사례 분석(1) 에 대한 질문이 사항이 있습니다.
안녕하세요. 크리핵티브 강사님 실습4-1 강의 진행 중에 오류 사항이 발생하여 질문 드리게 되었습니다. [공유해주신 환경 구성 현황]--> 현재 저는 공유해주신 자료(환경)를 C:\apache-tomcat-8.5.90-windows-x64\apache-tomcat-8.5.90\webapps\ROOT 폴더 아래에 압축을 해제 하였으며 강의 내용 대로 해당 디렉토리 이름을 practice로 변경 하였습니다. --> 환경의 동작 자체는 문제가 없었습니다. [문제상황]--> 해당 다운로드 버튼을 클릭해서 동작 시키면 --> 다운로드 코드가 그대로 나옵니다. --> burp suite에서 캡처를 해서 보면 그대로 다운로드 코드가 response로 오는 것을 알 수 있습니다.--> 강의 내용대로 ㅇ filename=/Chrysanthemum.jpgㅇ filename=Chr/ysanthemum.jpgㅇ filename=%5cChrysanthemum.jpgㅇ filename=Chr%5cysanthemum.jpg등등을 시도해도 동일하게 그냥 download 코드가 나오고 있습니다.--> 그래서 강의 내용을 그대로 수행해도 filedownload 실습을 진행하기가 어렵습니다. 참고로 강사님이 공유해주신 이미지 파일 위치는 수정하지 않았습니다.[실습 대상 이미지 파일 위치]--> practice -> prob1-> upload 아래에 Chrysanthemum.jpg 파일 위치 --> 어느 부분에서 문제가 발생한 것 이며 어디를 수정해야 하는지 가르쳐 주시면 감사하겠습니다.
-
미해결IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전
패킷 다운로드 안 됨
안녕하세요, 퀴즈 풀이 2탄은 제대로 다운로드가 되는데, 1탄은 코드가 감염되어 소유자만 다운 받을 수 있다고 뜨네요.. ajouunihospitalrn@naver.com으로 보내주시면 좋겠습니다.항상 잘 보고 있습니다. 감사합니다.
-
미해결AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안
특강 자료는 따로 없나요?
특강 자료는 전체 강의 자료에 없는거 같습니다.혹시 따로 제공되는 자료는 없을까요?
-
미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
APMSetup monitor 질문
APMSetup monitor이 다음과 같이 사용 불가로 뜨는데 사용하는데 지장이 없는가요?magic_quotes 를 수정했을 때도 start 버튼이 눌리지 않아 컴퓨터 재부팅을 몇 번 했더니 magic_quotes 기능이 off 되었습니다.
-
해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
PPT자료는 제공하지 않나요?
안녕하세요.SQL 인젝션, 파일 다운로드 강의를 수강하고 있는데요교육자료 PPT는 제공되지 않는건가요?
-
해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
시큐어 코딩적용 완성된 PHP 소스, 강의자료 공유
시큐어 코딩적용 완성된 Board PHP 소스 공유 (mySQL, MS SQL. Oracle) 가능할련지요?또한 강의 자료도 공유 가능한지요? 감사합니다.
-
해결됨IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전
강사님 저는 HTTP가 안뜨는 이유가 뭘까요?
이더넷으로 캡처하면 처음보는 포트들만 나오고, wifi로 캡처하면 TCP 등 다양하게 나오지만 HTTP 포트만 안떠요..! 설정을 잘못한 걸까요?