월 33,000원
5개월 할부 시다른 수강생들이 자주 물어보는 질문이 궁금하신가요?
- 모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
PHP 게시판 구성후 오라클 페이지에서 에러가 납니다.
삭제된 글입니다
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
제가 한것이 맞는지 잘몰라 글 올립니다
환경은 외부 가상화 환경(window7) 에서 SQL 서버 환경(window10) 으로 연습 과정입니다 10분에서 12분 사이의 내용인데 http://192.168.174.135/board/mysql/index.php?sort_column=(case when 1=1 then idx else title end)&sort=desc 입력시 해당 쿼리는참이므로 넘버가이 오름 차순되어야한다고 생각하는데 반응이없고 거짓(1=2으로 해도 반응이 없어 맞는지 모르겠습니다
- 해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
Oracle Database 18c Express Edition를 다운받아 설치하는데 롤백이 되고 설치가 완료되지 않습니다.
설치가 되지 않네요ㅜㅜ 다른 버전을 설치해봐야 하나요?
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
질문있습니다
안녕하세요 내부망 진단중인 시니어 모의해커입니다(사수 경력자분이 이직해서 사원들만 있어서 부득이하게 질문좀 남기겠습니다 ㅠㅠ) [실습 7-6] 오라클 유니온 베이스드 공격 강의보면서 내부망 진단 중입니다 인증 우회 및 게시판에서 ORA-06152 값이 나오는데 이부분은 유니온으로 공격을 시도해도 안되던데 강의처럼 ORA-01785 값이 나와야 되는건가요? [실7-6] ORACLE UNION-BASED 공격
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
강의 내용 개인적으로 정리 후 블로그에도 작성하려는데 괜찮은가요? ㅠㅠ
이 강의를 수강하며 개인적으로 정리한 내용임을 출처를 밝힌 후 블로그에도 업로드 하고 싶은데 어느정도 내용까지 괜찮으신가요? (소스코드 등은 적지 않고 이론적인 내용이나 명령어 등 적었습니다.) 만약 문제가 된다면 비밀글 처리하려고 합니다! https://www.dongyeon1201.kr/883304c3-8cf5-4759-ab16-51bd2865c41d
- 해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
SQL 인젝션 구문 종류 수업에서 stack query 구문에 대한 궁금증
stack query 예시로 나온 SELECT * FROM ask WHERE idx=192;delete from ask--and user_id='hacker' 가 어떤 의미 인지 설명해 주실 수 있나요?
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
게시판 실습환경 구성 중 오류가 발생하여 질문드립니다.
아래 "실습환경 구축에 대해 질문드리고 싶습니다."라는 제목으로 문의를 남긴 수강생입니다! 해당 게시글에 언급한 대로 현재 전 상황상 gcp에 ubuntu를 올려 그래픽기반으로 접속해 실습환경을 구축하고있습니다. 해당 게시글에서 강사님께서 php버전은 상관없다 말씀해 주셔서 최신 버전의 apm을 이용해 환경을 구축하였는데 게시판 글쓰기 기능에 오류가 발생하여 다시한번 문의드립니다. 위 사진은 현재 발생하고 있는 오류메세지입니다. 이건 현재 제가 실습환경에 설치한 apm의 버전정보입니다. 현재 msyql만 이용하여 테스트중인데 현재 강사님이 주신 쿼리문을 사용해서 mysql 테이블 정보는 제대로 입력되어 있고 common.php파일 내용도 mysql연결 코드를 제외한 나머지 부분은 주석처리하여 게시판을 실행하였으나 위 사진속 오류가 발생하며 게시글 생성이되고있지 않습니다. 이제 재차 질문드립니다. 늘 감사드립니다! 꼭 답변 부탁드리겠습니다.
- 해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
Oracle instant 설정 이후에도 php 구문이 동작하지 않습니다.
현재 oracle_connect.php를 하면 발생하는 에러는 아래와 같습니다. Fatal error: Call to undefined function oci_connect() in C:\APM_Setup\htdocs\oracle_connect.php on line 4 Oracle instant는 19.9가 안되길레 제공해주신 19.5로 다시 설정하였습니다. 환경변수 설정은 아래 이미지와 같습니다. 그리고 oracle_connect.php의 코드 내용은 아래와 같습니다. 붉은 색으로 표시 한 부분을 바꿨습니다. (oracle 계정 패스워드는 1234 맞는 것으로 확인했습니다.) 물론 수정을 마친 후에 Apache를 재부팅 하는 것도 잊지 않았습니다. PC를 다시 껐다 켰는데도 계속 에러 메시지가 발생해서 어디가 문제인지 잘모르겠습니다. 혹시 올려 놓은 자료 중 문제가 있는 부분이 보이신다면 알려주시면 감사하겠습니다.
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
어느부분에서 실수가 있었는지 모르겠습니다..
실습을 따라하는데 mysql, mssql, oracle 모든 실습 환경에서 강의 내용과 다른 결과가 나오는것같아 질문드립니다. 일단 이 사진이 제가 게시글 작성을 통해 만들어둔것들입니다 ! 영상을 보면 mysql의 경우 검색창에 ' 문자 입력 시 에러 코드가 나오는게 정상인것 같은데 저는 에러창은 나오지 않으며 아래 사진처럼 검색 결과가 없다고만 출력이 됩니다.. 또한 mysql의 경우 te' 'st 입력 시 test라고 검색한것과 같은 결과가 나와야 되는걸로 이해하엿는데 te' 'st 검색시에도 검색 결과가 없다고 출력됩니다 .. ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ 다음은 mssql 쪽입니다 .. mssql도 mysql이랑 똑같이 글을 작성해 둔 뒤 mssql 환경에 맞게 te'+'st 로 검색을 하면 test를 검색한것과 동일한 결과값이 나와야한다고 배운것 같은데 위와 같은 에러가 나오면서 동일하게 검색이 안됩니다 ㅜㅜ .. oracle 또한 상황이 같으며 에러 창만 첨부해서 올립니다 .. oracle은 '||' 으로 검색하였습니다.
- 해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
[실습3-1] PHP 기반 로그인 기능 제작 강의 관련 문의 드립니다.
환경설정처럼 스스로 삽질과 경험이 필요한 초보적 질문으로 연속적으로 힘드시게 해드리는 것 같아 송구스럽습니다. 이전 질문은 조금만 인터넷에 찾아 봤으면 충분히 알 수 있었을 내용인데. 친절히 답변해주셔서 감사합니다. 이번에는 여러 번 다시 보고 다시 찾고 하였으나, 제 눈이 이상한 것인지 도저히 알 수 없어서 다시 한번 질문 드렸습니다. 양해 부탁드립니다. 이번 질문은 [실습 3-1]에서 PHP 기반 로그인 기능 제작에 관한 문의 입니다. 다름 아니라, PHP 코드에 문제가 없고(제 눈에는), DB도 login_example,member 테이블 생성하여 그 안에 admin과 guest 까지 추가 하였고, 실질적으로 loginAction.php 파일은 테스트 하였을 때 에러코드나 반응이 없는 것으로 보아 DB또한 잘 연결 됬다고 판단하였습니다. 나머지 logout.php, login.php 도 글씨가 깨지는 인코딩 오류를 제외하고는 정상적으로 작동합니다. 허나 주소창에 127.0.0.1/login 을 치거나, 127.0.0.1/login/index.php 를 칠 경우 강의와 같이 alert 가 생성되고 로그인 페이지로 넘어가지 않고, 아무 반응 없이 자동으로 파일 다운로드가 실행 됩니다. 다운로드된 파일안에는 아래와 같이 경고창의 코드가 들어있는 파일이 다운로드 됩니다. 아래에는 제가 따라 작성한 소스코드 입니다. 혹시 코드에 어떤 문제가 있을런지 확인 해 주실 수 있을까요? -----------------------------------index.php ------------------------------------------login.php ------------------------------------------loginAction.php ------------------------------------------logout.php
- 해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
안녕하세요. ORACLE 계정생성 후 초기 비밀번호 문의드립니다.
비교적 초보적 질문이더라도 양해 부탁드립니다. 해당 영상따라 오라클 설치 후 시스템 계정으로 로그인 하여 계정 생성하였습니다. 후에 영상에 보면 c##[아이디] 로 로그인 하시는데 비밀번호는 어떻게 되는지 궁금합니다. 감사합니다.
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
실습환경 구축에 대해 질문드리고 싶습니다.
안녕하십니까! 우선 양질의 강의를 제공해주시는 점 정말 감사드립니다! 전 현재 군복무를 하고있는 중이며, 환경적 사정상 사용할 수 있는 환경이 gcp를 사용한 ubuntu환경으로 제약되어 있습니다. 따라서 강사님이 제공해주신 apm-setup을 사용할 수 없는 상황이라 직접 apm환경을 구축할려합니다. 다만 강사님이 제공해주신 apm버전을 확인해보니 php(5.2)등 현재 출시된 버전보다 낮은 버전이 설치되는걸 확인했습니다. 따라서 현재 나와있는 최신 버전의 apm 환경을 구축해도 해당 실습 환경을 무리없이 돌릴 수 있는지 질문드리고 싶습니다. 만약 최신 버전이 불가능 하다면 각 apm버전이 어디까지가 마지노선인지 답변해주시면 감사드리겠습니다! (아무래도 예전 버전의 apm을 ubuntu에 설치하기 힘든 점도 있는 것 같습니다.) 다시한번 양질의 강의를 제공해 주셔서 정말 감사드립니다!! 답변 부탁드리겠습니다!
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
oracle 접속 시
사용자명 입력: ERROR: ORA-12560: TNS:프로토콜 어댑터 오류 계속해서 발생하는데요 어떤걸 해보면 처리가 될까요?
- 해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
[실습8-3] 영상중복이 있어요
50:10 - 59:02 부분이 11:26 - 20:16 에 중복해서 들어가있어요 햇갈릴수있을거같습니다. 강의 정말 재밌게 잘 듣고 있습니다!! 혹시 강의 제작 커리큘럼을 좀 알수있을까요?? 다음 나올 강의가 너무 궁금하네요. 간단하게 파이썬으로 sql인젝션 자동화 도구 만드는 강의가 있으면 좋을텐데요..ㅠㅠ
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
취약점 유/무 진단에 대하여
1. 안녕하세요 열심히 수업을 듣고있는 학생입니다. 수업을 진행하면서, 개발자 친구의 도움을 받아 실습환경을 구성해서 실제로 해커처럼 기법을 써보고, 체득할 수 있도록 노력중입니다. 그런데 문제는 취약점 유/무 진단에서 막혀서 공격은 시도조차 못하고 있다는것입니다.. 이런 과정속에서 실무에 관한 의문이 생겼는데요, 정말 취약한 사이트가 아닌 이상에야 사실 웹방화벽을 사용하거나 입력값 검증 정도는 하는걸로 알고있습니다. 연결 연산자 사용이라거나, 싱글쿼터로 에러를 유발하는것은 친구가 구축한 환경에서도 먹히지가 않더라구요. (문자열을 넣어야하는 조건문에 and 1=1 을 넣고 안된다고 하는것이 아니라, 강사님이 알려주신대로 from절이나 order by 등에도 다 필터링에 막혔습니다) 제가 궁금한것은 실무에서 이런 경우에 sql 취약점이 없다고 결론을 내리는 건가요? 아니면 기본 강의이기 때문에 입력값 검증 우회에 대해서는 다루지 않는것인가요? 만약 후자라면, 이런 실무에서 바로 쓸 수 있는 기법들은 어떻게 배울 수 있을까요? 2. 강의를 들으면서 웹해킹은 웹프로그래밍의 연장선이라는 생각이 많이 들었습니다. 그런데 제가 웹 프로그래밍 쪽이 약해서, 강의 도중 가끔 php 함수를 쓰거나 하실때도 좀 어렵게 느껴지더라구요. 이를 보완하고 싶은데, 화이트해커 관점에서의 웹프로그래밍 공부법을 추천해주시면 감사하겠습니다.질문 답변 잘해주셔서 늘 감사합니다. 좋은하루되세요.
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
information_schema.tables 와 information_schema.columns에 관해 질문드립니다.
먼저 좋은 강의 늘 감사드립니다. 실무를 해본적은 없고 선생님 강의를 차근차근 따라가고 있는 중인데요, 순차적 메타데이터 목록화시에 information_schema.tables의 역할이 좀 애매한거같아서 여쭤봅니다. 테이블 네임에 관한 정보는 information_schema.columns에도 있더라구요. 그럼 information_schema.schemata에서 db name을 목록화 시킨 후에 바로 select table_name, column_name from information_schema.columns where table_schema='board' 이런식으로 table과 column을 한번에 목록화 시키는것이 더 효율적이지 않나요? 실무에서는 저 과정을 스킵했을때 문제가 되는경우가 있나요? 감사합니다.
- 해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
연결 연산자를 지워버리는 경우에 대한 질문이 있습니다.
te'||(case when 1=1 then 'e' else 'a' end)||'st 라는 파라미터로 테스트를 해본다고 하셧는데, 이건 ORACLE 에서만 가능한건가요? 연결연산자만 다른 같은 구문을 MYSQL에서 select 'te' (case when 1=1 then 'e' else 'a' end) 'st' 이런식으로 쿼리를 보내봤더니 에러가 뜨더라구요. 왜 오라클에서는 되고 mysql에서는 안되는지 궁급합니다.
- 해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
OracleDB 환경 설정 문제
강의에서 알려주신대로 Oracle DB를 설치해보았으나 정상적으로 연동되지 않습니다. 환경변수 설정에도 문제가 없고, 버전도 19.5를 사용했으며 리스너도 잘 동작하고 있는 것을 보실 수 있습니다. 열심히 해보려고 강의를 구매했는데 며칠 째 환경 설정에서 벗어나지 못하고 있어서 많이 속상하네요.... 도움을 요청드립니다. + APMSetup이 쉽게 환경 구성을 할 수 있다는 점에서 매력적이라는 것은 알겠지만 지원이 끝나서 많은 취약점에 노출되어 있고, 오래된 소프트웨어라 여러 문제가 있는데도 강의에 사용하고 있는 것은 다소 아쉽습니다. 다음 강의에서는 이 점이 꼭 개선되었으면 합니다.
- 미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
win7에서 진행중입니다;
환경변수 문제인지 Fatal error: Call to undefined function oci_connect() in C:\APM_Setup\htdocs\oracle.php on line 4 위같은 에러메시지가 나오는데 방법없을까요ㅕ
- 해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
order by랑 union all 관련 질문입니다.
order by로 컬럼개수 파악 후 union으로 원하는 데이터 조회하는과정에서 order by로 개수파악 하지않고 처음부터 union all select 에서 null의 개수 늘리는 방법으로 컬럼개수 파악하면 안되는 이유가 있을까요? 컬럼개수가 9개일때 9번째가 대용량 타입이라고 한다면 order by가 8까지 되어서 8개구나 라고 생각할 것 같아서요 처음부터 union all select해서 null 개수를 늘리는 방식은 좋은 방법이 아닌지 궁금해서 질문드립니다