55,000원
다른 수강생들이 자주 물어보는 질문이 궁금하신가요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
[실습4-1] XXE Injection 공격 실습
[실습4-1] XXE Injection 공격 실습 편에서 아래와 같이 외부 개체 참조 테스트를 위해 XML을 입력하면 secret_info.txt 파일 내용이 보이지 않는 경우가 있습니다. PHP5 에서는 문제가 없는 것 같고 PHP7에서 문제가 되네요. xmlparser.php 내 simplexml_load_string 함수를 호출할 때 아래와 같이 옵션을 지정해주면 secret_info.txt 문자열을 정상적으로 확인할 수 있습니다. 혹시라도 저 처럼 AMP 환경이 아닌 곳에서 학습을 진행하고 계시다면 참고하시면 좋을 것 같습니다.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
버프스위트에서 insecure_website 인터셉트가 안돼요
네이버나 구글 다음등등 다른사이트들은 인터셉트나 버프스위트에서 Http History내역이 보이는데 insecure_website는 인터셉트나 HTTP History등 아무것도 정보가 뜨질않아서 실습이 안되고 있어요
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
index 화면 정상 출력되지 않는 이슈 건
먼저 좋은 강의 만들어주셔서 감사합니다. 전체적으로 한번 싹 훑는데 많은 도움이 되었습니다. 역시 책 읽는 것보다 온라인 강의가 편하네요!! ^^ 질문은 아니고 저와 같은 문제를 겪으신 분들에게 도움이 되고자 남깁니다. 저는 기존에 구축되어 있는 환경을 활용하고자 APMSetup 이 아닌 XAMPP를 활용했는데 아래와 같이 정상적인 출력이 되지 않는 것을 확인했습니다. 이 현상은 PHP 5.2 까지는 <?php 자리에 <?를 대신 쓸수 있었으나, PHP 5.3 부터는 <?를 쓰면 PHP로 받아들이지 않게끔 바뀌어서 생기는 문제입니다. PHP 5.3 이상에서 <?를 쓸수 있게 하려면 php.ini 에서 short_open_tag 항목을 Off 에서 On으로 바꿔주면 됩니다. 참고 부탁드립니다.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
리피터에서 보냈을때 응답
응답이 왜 페이지 소스코드가 그대로 나오는걸까요 .. ㅜ
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
마지막 예제 질문이요
비밀 게시글이 일반 게시글보다 밑에 있고 idx가 4일 때 ‘ or idx=4# 말고 ’ or idx=4를 하면 왜 안되는건가요?? select * from board where idx=4 and password=’‘ or idx=4 해서 앞에 and 먼저 해서 거짓이고 or에서 idx=4가 참이라 볼 수 있을 것 같았는데 안되더라구요 쿼리 문이 예상한 것과 달라서 그런건가요?? 그런거라면 만약 위에처럼 쿼리문이 되어있으면 게시물을 볼 수 있는건가요..?
- 해결됨웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
질문 있습니다.
너무 많은 질문을 드려 정말 죄송합니다 대부분이 제 질문이라.. burp 에서 페이지를 봤을 때 경로가 board/download.php?upload=1&no=988 HTTP/1.1 이렇게 되어 있을 때엔 보안 적용이 된건가요 앞서 말씀 하신 강의 에서 설명 방법 대로 ../..././.....// 등등 적용해보았지만 사라지진 않고 상위 폴더로 이동이 불가능 하다면 적용이 완벽한건가요? idx? 로 적용된건지 궁금합니다.
- 해결됨웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
파일업로드 중..
파일 업로드를 하는데 파일업로드에 실패하였다고 뜹니다. 따로 코드 수정을 하지 않았는데 이렇게 나와서... 감이 잡히지 않거든요 혹시 어캐 해결해야 할까요?
- 해결됨웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
무단 수정에서
<body onload="document.forms[0].submit()"> <form action="http://아이피/insecure_website/action.php" method="POST" enctype="multipart/form-data"> <input type="hidden" name="title" value="계좌번호 정보입니다."> <input type="hidden" name="content" value="* 은행 : 와우 은행* 예금주 : 해커* 계좌번호 : 1111-1111-2222"> <input type="hidden" name="password" value="a"> <input type="hidden" name="idx" value="43"> <input type="hidden" name="mode" value="modify"> <input type="submit"> </form> </body> 했는데 계속 잘못된 요청이라고 뜨는데 혹시 작성이 잘못된 걸까요..?
- 해결됨웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
파일 업로드 에러
2번째 챕터를 듣던 도중 파일 업로드까지 하여 게시글을 작성해보려고 하였습니다. 하지만 파일 업로드의 실패가 일어나서 조금 당황스러웠는데 혹시 이후의 챕터에서 이 부분에 대해서 해결을 하나요? 혹은 해결 방법이 있을까요? 코드는 바꾸지는 않았으며 파일은 txt파일을 하나 만들어 올려봤었습니다.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
이럴경우는
no=214&type=2&page=1&w_name=&w_value=& 1=1 이란 공식이 적용이 안될텐데 어캐 해야 가능한가요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
XSS 대응방안에 대하여 질문드립니다.
일반적인 input 입력이 아닌 에디터를 사용하여 입력받고 에디터가 아닌곳에 노출이 필요한경우 XSS 대응을 어떻게 해야할까요? 예를들어 CKEditor를 사용하는 경우 HTML를 직접 입력받거나 img, iframe 등 지원 하는 기능이 많은데 이러한 입력값에 악성 스크립트가 심어져있는지 어떻게 검증해야 할까요? 저장시 Lucy를 이용하여 변환시키긴 하는데 저장 데이터가 보여져야 할곳이 CKEditor영역이 아닌 HTML태그영역에 직접적으로 노출시킬때 다시 변환을 되돌리지 않으면 변환된 값이 노출되고, 변환을 되돌리면 심어놓은 스크립트가 작동합니다. 사용할 태그들을 화이트리스트로 작성하여 제외시키는것 말고는 별다른 대응방안이 없을까요?
- 해결됨웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
꼭 admin 계정이여야 하는가 싶습니다.
의문이 드는게 꼭 admin 계정이여야지 되는건지 아니면 제가 만든 아이디로도 가능한건지 예를 들자면 제가 만든 아이디가 test 이다 그렇다면 length((select+jumin+from+customer_info+where+id='test'))=14도 가능한지 여쭙고 싶습니다 그리고 실습 초반 메타 데이터의 관한 내용은 넘어 가셨는데 이부분 혹 유료 강좌로 열어주실수 있는지요 자세히 들어가고 싶은데 뛰어 넘가는 정보가 많아서 1시간정도의 강의라 하셔서 힘드시면 유료 강의로도 들을 생각이 있어서 여쭈어봅니다. 또한 파이썬 자동화 도구 만드는 방법을 하는강의도 여실 생각없는지 그리고 질문 메일도 여기에 여쭈어 봅니다.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
이 실습 말고 또 다른 질의
burp 사용중에 intercept on 후 request to 에서 forword를 하면 request from으로 바뀌어야한다는데 저는 브라우저에 정보만 나오더라고요 혹시 이부분을 할 수 있는 방법을 알 수 있을까요
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
만약에
$query = "delete from {$tb_name} where idx={$idx} and password='{$password}' "; 이렇게 되어있을땐 하나의 게시글 삭제는 불가능 한건가요?
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
좋은강의 감사합니다. 회원가입이 안되요.
좋은강의 감사합니다. 회원가입이 안되요. test2016으로 만들어서 했는데 안되서 다른 아이디로 해서 가입해도 안되네요. Warning: mysqli::mysqli() [mysqli.mysqli]: (28000/1045): Access denied for user 'root'@'localhost' (using password: YES) in C:\APM_Setup\htdocs\insecure_website\common.php on line 13 이런 메세지는 뜨는데, 회원가입 창은 뜨거든요. 뭐가 문제일까요. 항상 감사함미다.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
아주 좋은 수업 감사합니다. 혹시 2-1(실습) 듣고 있는데요
저러한 wanirng이 뜨는데요. common.php는 찾았는데 거기서 무엇을 고치란 말인지 모르겠습니다. Warning: mysqli::mysqli() [mysqli.mysqli]: (28000/1045): Access denied for user 'root'@'localhost' (using password: YES) in C:\APM_Setup\htdocs\insecure_website\common.php on line 13Warning: mysqli::query() [mysqli.query]: Couldn't fetch mysqli in C:\APM_Setup\htdocs\insecure_website\list.php on line 31 건강하세요. 좋은 강의 감사함미다.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
2-10)실습할 떄. 주소가 안 됩니다.
http://127.0.0.1/insecure_website/index.php 저 홈페이지는 저는 못들어가나요? 실습 하고 싶은데 아무것도 뜨는 게 없어서 답답하네요.
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
APM 셋업- test.php 작성하고
test.php 작성하고 영상 5분 57초 더블클릭 누르면, 해당 애플리케이션 여시겠어요? 하고 안열리네요. 어떻게 해야 저 보라색 화면이 뜨죠
- 해결됨웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
첫 강의 부터 너무 빠른 것 같습니다..
제가 sql 기본 문법을 공부 할때에 분명 페이지 설정에서 지우란 걸 지워서 전 이제 127.0.0.1을 하면 오류 페이지만 뜨지 다른 부분은 뜨지 않습니다 이부분은 상관없는 건지 아니면 다시 설치해야하는건지.. 기본 문법 강의가 정말 맘에 들어서 보려니깐 초반 설명이 너무 빠른 같습니다..ㅠㅠ
- 미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
안녕하세요 시작부터 오류가생기네요
• 여기 메모장에있는 cmd에서 적었는데 안되네요 여기서 제가 회원가입을했는데 성공했는데 로그인이 안되네요