화면 크기에 대하여

참고하겠습니다. 감사합니다.

[실습2-2] 인증 우회 공격 오류

admin 계정 존재 유무와 싱글쿼터(')가 제대로 서버 측에 전달되는지 여부를 확인해보셔야 될 것 같습니다.만약, magic_quotes_gpc 설정이 되어 있을 경우 \'으로 전달되기 때문에 제대로 싱글쿼터 역할을 하지 못합니다.

저는 왜 xss 실행이 안될까요?

주석은 실행에 영향을 주지 않는 위치에 있어야 합니다. 함수명인 alert을 훼손하게 되면 함수로 인식이 되지 않습니다. 영상에서 주석 사용하는 위치를 잘참고해보시면 될 것 같습니다.

26.01.10 기준 해당 설정은 안해주어도 되나요?

넵 PHP 5.4.0 버전부터는 완전히 삭제되었기 때문에 magic_quotes_gpc 신경쓰지 않으셔도 됩니다.

주의사항 1

안녕하세요.진단자의 핸들링이 벗어날 수 있는 상황일 경우 담당자와 협의가 필요한 부분입니다.예를 들어, 공지사항의 XSS 취약성 여부 진단은 공지사항 작성 만으로 전사 직원에게 알람이 갈 수 있으며, 삭제 가능 여부 등으로 인해 진단자의 커버에서 벗어난 영역들이 발생할 수 있기에 이러한 부분은 담당자와 협의가 필요합니다.그러나 세션하이재킹의 경우, 공격자/희생자를 진단자가 구성해서 할 경우는 진단자 레벨에서 커버가 가능하기 때문에 굳이 담당자 협의 없이 진행하시면 됩니다. 물론 공격 대상의 웹 어플리케이션에서 세션 하이재킹 글 작성 후 신속히 삭제는 해야 됩니다.단, 세션하이재킹 공격의 희생자가 고객센터 직원 혹은 사내 직원이 될 경우는 담당자 협의가 필요한 부분입니다. 또한 업무에 문제가 생기지 않게 스트립트 구성도 필요하겠죠.따라서 진단지 레벨에서 커버 가능한 영역들은 담당자 협의 없이 보고서 작성으로 이어지면됩니다.

저 웹페이지는 어떻게 들어가나요?

맥에 대한 부분은 잘 모르지만, 어떤 프로그램으로 설치하셧는지 알려주세요. 제대로 실행될 수 있게 도와드릴게요. 그리고 short_open_tag 설정을 변경하신뒤 아파치 재기동을 해주셔야 합니다.

PPT 자료 받을 수 있을까요?

별도로 교재는 제공하고 있지 않습니다. 죄송합니다.

게시판 취약점 찾기 속 미션2) 질문

접근이 괜찮습니다. 조금더 하심될 것 같은데요 ㅎㅎ 문법을 준수해야 한다고 생각하시고 쪼금더 고민 해보심 좋을 것 같습니다. 그리고 이벤트헨들러는 태그마다 적용 가능한 종류가 다르고, 동작하는 방식도 태그의 특성에 따라 달라집니다. 해당 태그에 사용될 수 있는 이벤트헨들러를 사용해야 되는거죠.

질문드립니다

php.ini에서 short_open_tag 설정을 On으로 해보시고 다시 아파치 재시작 해보실래요?

왜 후위 처리 방식을 사용하나요?

영상의 설명에도 있을 것 같긴한데,전위 처리 시 문자 하나는 1byte인데, 인코팅을 하게 되면 4byte가 됩니다. 따라서 용량이 더 늘어나겠죠.그래서 저장의 효율 측면을 고려하여 후위로 했을 수도 있고, 아니면 개발자 환경에 따라 후위로 할 수 있습니다.결국 로직 설계는 개발자가 하기 때문에 개발자 맘이 되는거죠 ㅎㅎ실무에서 코드를 보면 같은 기능이라도, 내부 로직이 다양한데 이는 개발자의 성향이나 환경, 편의성, 효율성 모두를 고려해서 결정 내리는 거라 ㅎㅎ