55,000원
다른 수강생들이 자주 물어보는 질문이 궁금하신가요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
APMsetup Monitor 실행하면
강의에 나와있는 화면처럼 뜨는 게 아니라 이렇게 떠요 ㅠㅠ 어떻게 해야 하나요,,? 그래서 껐다가 다시 켰는데 이번에는 아예 아무것도 안 나와요.... 실행이 된 거 같은데 화면에는 아무것도 안 나와요ㅠㅠ 그리고 두번째 방법인 apachemonitor도 해봤는데 이것도 실행이 이미 되어있다고 뜨는데 화면에는 아무것도 안 떠요..
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
산술연산자로 취약점 판별하는 방법..
강의 잘 듣고 있습니다 강사님! 인젝션 취약점 존재여부 확인방법 보는중 한가지 문의가 있습니다. 숫자형일때 산술연산이 가능한지 보는것과, case when 구문이 가능한 경우 이게 왜 injection 에 취약한건지요? test 검색어를 te' 'st 로 검색했을때도 값이 정상적으로 나오는건 sql 조작어인 ' 를 적절히 필터링하거나 대응해주지 못해서인건 알겠습니다만..
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
te' 'st가 안되는데 어디서 잘못된건지 모르겠습니다
cmd에서는 나오는데 홈페이지에서는 저대로 검색하면 에러페이지가 뜹니다 'post does not exist' 련 문의는 1:1 문의하기를 이용해주세요.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
테스트환경 로그인 문제
안녕하세요 강의 이번에 듣게되었습니다! 혹시 회원가입은 정상적으로 작동하는데 로그인 부분에서 어떻게 해야하는지 알수 있을까요? 맞게 회원가입을 했는데 로그인하는부분에서 틀렸다고 하는데 어떻게 해결해야 될까요?..
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
취약점 존재여부를 확인하는 방법관련하여
인젝션 취약점 존재여부를 확인하는 방법들 (연산자 이용하거나 te' 'st 로 검색해보거나 ..) 은 결국 인젝션이 가능한 특수문자를 예외처리 한 상탠지를 확인하기 위한 것이 맞나요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
코드상에 잘못된 점을 모르겠습니다 ㅠ
<script> var xhp = new XMLHttpRequest(); xhp.open("POST", "/index.php?page=mypage", true); xhp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xhp.send("gubun=action&name=희생자&password=test&email=victim&company=(주)희생자"); </script> 인데 안되는 이유를 모르겠습니다. 입력할때는 개행 다 없앴습니다.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
sql 문법 질문드립니다.
SQL상에서 length((select jumin from customer_info where id='admin')) 으로 조회하면 오류가 나는데 버프스위트 상에서 and length((select jumin from customer_info where id='admin')) and length((select jumin from customer_info where id='admin'))=14 로하면 참으로 결과가 나오는건 왜그런건가요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
안녕하세요! 혹시 JSP 문법이 궁금해서요
JSP 예시 문법을 String query ="select * from board where idx="+ idx +"; 로 해주셨는데 String query ="select * from board where idx=""+ idx +"; 혹시 이 문법이 맞는건지 아니면 위에 문법이 맞는건지 궁금합니다.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
query.txt 파일 내용이 다르고, cmd에 복붙했는데 에러 두개가 뜨네요
query 내용 입니다. create database pentest; use pentest; create table members( idx int not null auto_increment, id varchar(30), password varchar(100), name varchar(50), email varchar(30), company varchar(30), primary key(idx) )DEFAULT CHARSET = utf8; create table insecure_board( idx int not null auto_increment, title varchar(50), content text, id varchar(20), writer varchar(30), password varchar(50), file varchar(50), regdate date, secret varchar(2), primary key(idx) )DEFAULT CHARSET = utf8; create table customer_info(idx int, id varchar(15), password varchar(30), jumin varchar(15)); insert into customer_info values(1, 'admin', '@dmin!q@w#e', '810203-1023113'); insert into customer_info values(2, 'gugucon', '99c0n', '861121-1244251'); insert into customer_info values(3, 'sonata_zzang', 'sosohan123', '890912-1601812'); insert into customer_info values(4, 'halls', 'halls920912', '921001-1881222'); insert into customer_info values(5, 'tkworld', '1q2w3e4r', '870405-1285264'); 그리고 cmd 에 복붙 했는데 에러 두개 정도 뜨고, 사이트 접속이 안되네요
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
강의 PT자료 제공은 안되나요?
안녕하세요. 강의 PT자료 제공은 안되나요? 감사합니다.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
버프스위트 127.0.0.1 intercept 등록 질문
안녕하세요 버프스위트 질문있으서 문의드립니다. 영상처럼 Intercept Client Requests와 Inercept Server Responses에 127.0.0.1을 입력하면 아무것도 잡히지가 않아 문의 드립니다. 1) 프록시 설정 2) 버프스위트 프록시 설정 상태1 3) 버프스위트 프록시 설정 상태2 4) 127.0.0.1 상태 위 사진과 같이 아무것도 잡히지 않습니다. 추가로 127.0.0.1을 지우거나 체크박스를 해제하면 다른 사이트는 잘 잡히는데 똑같이 127.0.0.1은 잡지못하는거 같습니다. 혹시 해결방법이 있을까요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
proxy설정문의
안녕하세요, 웹프록시를 127.0.0.1:8080으로 설정하였는데 다른 웹사이트들은 다 잡히는데 실습사이트는 잡히지 않습니다. 혹시 어떻게 설정해야할까요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
순차 탐색 질문입니다
안녕하세요 순차 탐색에서 막혀서 질문드립니다. 첫 번째 쿼리로 select id from members where id='test' and substring(system_user(),1,1)='r'; 을 실행했을 때, Empty set 이 나왔습니다. 두 번째 쿼리로 select substring(system_user(),1,5); 를 실행시켜보니 root@ 가 출력됨을 확인했습니다. r로 시작하므로 첫 번째 쿼리에서 empty set이 나올 이유가 없는것 같은데 왜 empty set이 나오는지 원인을 잘 모르겠습니다..
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
프록시서버
네이버 사이트에 접속하려고 했는데 아래와 같은 오류가 뜹니다. 프록시 서버가 응답하지 않습니다. 프록시 설정을 확인하세요127.0.0.1:8888 이런 오류메세지가 뜨는데요 왜 그러는걸까요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
질문
action.php에서의 값들을 입력하니 write page에서 정상적인 글도 write버튼 누르니 action.php에서 입력한 경고문이 뜹니다..오타 없는 것 까지 확인하는데 이유가 뭔가요..
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
te' 'st도 검색이 안되구요 %붙이는것도 검색이 안돼요..
검색이 안돼요
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
비주얼코드도 깔았는데요 test.php로 만들면 텍스트파일로 떠요
test.php로 만들면 텍스트파일로 떠요..
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
select * from member where id= '1' or '1'='1' --
SQL 인젝션 관련하여 질문드립니다. 제목처럼 -- 나 # 등의 주석처리로 로그인을 우회할 수 있는 경우는 insequre_website 의 login.php 에서 로그인을 처리하는 로직 (하단)처럼 id값과 pw 값을 동시에 받아서 query 로 넘기는 경우만 해당하는거죠? $query = "select * from members where id='{$id}' and password='{$password}'"; 즉, 하단의 로직처럼 일단 id가 있는지 확인하고, id가 있을 경우 pw값 일치여부를 보는 경우엔 주석처리로 로그인 우회가 안되는게 맞는거죠? 감사합니다! <?php session_start(); $connect = mysqli_connect("localhost", "", "", ") or die("fail"); //입력 받은 id와 password $id=$_GET['id']; $pw=$_GET['pw']; //아이디가 있는지 검사 $query = "select * from member where id='$id'"; $result = $connect->query($query); //아이디가 있다면 비밀번호 검사 if(mysqli_num_rows($result)==1) { $row=mysqli_fetch_assoc($result); //비밀번호가 맞다면 세션 생성 if($row['pw']==$pw){ $_SESSION['userid']=$id; if(isset($_SESSION['userid'])){ ?> <script> alert("로그인 되었습니다."); location.replace("./index.php"); </script> <?php } else{ echo "session fail"; } } else { ?> <script> alert("아이디 혹은 비밀번호가 잘못되었습니다."); history.back(); </script> <?php } 출처: https://chamggae.tistory.com/83 [silqia 공부 블로그]
- 해결됨웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
dom 과 reflected의 차이
1. dom 과 reflected 의 차이가 웹서버 응답값에서의 악성스크립트 유무 차이로 이해를 했습니다. 웹서버가 요청값을 받고 응답을 해줄 때 자바 스크립트로 작성된 dom api를 사용한 url일 경우 악성스크립트가 반영되지 않는게 맞나요? 2. reflected 공격시 url에서도 document.cookie 처럼 dom을 사용한거 아닌가요? 3. dom api를 사용한다는게 dom.php 처럼 자바스크립트만으로 작성된것을 이용한다는건 가요? 4. 3번이 맞다면 자바스크립트로만 작성된 php면 dom-based 기법을 사용할 수 있는 건가요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
안녕하세요. 학습내용을 개인 블로그에 업로드해도 되나요 ?
안녕하세요. 다름이 아니라 강의를 진행할 때 제공해주시는 웹페이지 환경을 통해 학습하는 내용들을 캡처하여 글과 함께 제 나름대로 정리하여 개인 블로그에 (공개적으로) 업로드하여도 괜찮을까요.. ? (영상을 캡처하는 것이 아닌 제공된 웹 환경에서 제 화면을 캡처하는 것입니다. ) 만약 가능하다면 출처나 해당강의를 통해 학습하였다고 작성할 생각입니다. 강의와 관련있는 질문을 남겨주세요.• 강의와 관련이 없는 질문은 지식공유자가 답변하지 않을 수 있습니다. (사적 상담, 컨설팅, 과제 풀이 등)• 질문을 남기기 전, 비슷한 내용을 질문한 수강생이 있는지 먼저 검색을 해주세요. (중복 질문을 자제해주세요.)• 서비스 운영 관련 질문은 인프런 우측 하단 ‘문의하기’를 이용해주세요. (영상 재생 문제, 사이트 버그, 강의 환불 등) 질문 전달에도 요령이 필요합니다.• 지식공유자가 질문을 좀 더 쉽게 확인할 수 있게 도와주세요.• 강의실 페이지(/lecture) 에서 '질문하기'를 이용해주시면 질문과 연관된 수업 영상 제목이 함께 등록됩니다.• 강의 대시보드에서 질문을 남길 경우, 관련 섹션 및 수업 제목을 기재해주세요. • 수업 특정 구간에 대한 질문은 꼭 영상 타임코드를 남겨주세요! 구체적인 질문일수록 명확한 답을 받을 수 있어요.• 질문 제목은 핵심 키워드를 포함해 간결하게 적어주세요.• 질문 내용은 자세하게 적어주시되, 지식공유자가 답변할 수 있도록 구체적으로 남겨주세요.• 정확한 질문 내용과 함께 코드를 적어주시거나, 캡쳐 이미지를 첨부하면 더욱 좋습니다. 기본적인 예의를 지켜주세요.• 정중한 의견 및 문의 제시, 감사 인사 등의 커뮤니케이션은 더 나은 강의를 위한 기틀이 됩니다. • 질문이 있을 때에는 강의를 만든 지식공유자에 대한 기본적인 예의를 꼭 지켜주세요. • 반말, 욕설, 과격한 표현 등 지식공유자를 불쾌하게 할 수 있는 내용은 스팸 처리 등 제재를 가할 수 있습니다.