CSRF-1@app.route("/admin/notice_flag")def admin_notice_flag(): global memo_text if request.remote_addr != "127.0.0.1": return "Access Denied" if request.args.get("userid", "") != "admin": return "Access Denied 2" memo_text += f"[Notice] flag is {FLAG}\n" return "Ok"코드를 확인해보면 /admin/notice_flag?userid=admin 으로 함수를 호출했을 때 플래그를 확인할 수 있는 것을 알 수 있다.@app.route("/vuln")def ..
xss-1 풀이해당 문제에서는 /xss 라는 경로로 요청을 보낼 때, URL의 쿼리 파라미터로 전달된 xss 값이 별다른 검증 없이 그대로 사용자에게 반환됩니다. 이는 웹 페이지에서 사용자 입력을 검증하지 않고 그대로 출력하는 취약점, 즉 XSS(크로스 사이트 스크립팅) 공격에 노출되어 있다는 것을 의미합니다.이러한 XSS 취약점을 이용하면 공격자가 악의적인 스크립트를 삽입하여 실행시킬 수 있습니다. 예를 들어, 공격자가 자바스크립트 코드가 포함된 URL을 전달하면, 해당 코드가 브라우저 상에서 그대로 실행될 수 있습니다.또한, 문제의 /flag 페이지에서는 중요한 정보인 flag 값이 쿠키(cookie) 에 저장되어 있습니다. 즉, 쿠키에 담긴 정보가 유출되면 flag 값도 함께 탈취당할 수 있습니다...
웹해킹 old-23 풀어보기 - 3차시 과제
여기서 문자열이 2개 이상인 상태로 제출을 누르면 no hack 이라고 출력이 된다. 그렇기에 문자열을 2개 이상 붙이지 않고 제공된 스크립트문을 제출해야한다. 해결법은 다음과 같다.제출을 누르면 url이 "https://webhacking.kr/challenge/bonus-3/index.php?code="다음과 같이 변경된다. 이때 code= 뒤에 %00r%00i%00p%00t>a%00l%00e%00r%00t(1);%00c%00r%00i%00p%00t>해당 문자열을 넣으면 해결된다. 위의 문자열은 문자가 2개 이상 이어지지 않도록 하기위해서 null을 문자열 사이마다 넣어준 것이다.
웹해킹 1, 15, 20 문제 풀어보기 - 2차시 과제
old-01문제를 확인해보면 아래와 같이 소스코드가 출력이 된다. 쿠키 관련 문제이므로 개발자 모드에서 쿠키를 확인하면 된다."); }?>---------------------=4) $_COOKIE['user_lv']=1; if($_COOKIE['user_lv']>3) solve(1); echo "level : {$_COOKIE['user_lv']}";?>view-source 쿠키 확인 여기서 user_lv 라는 쿠키가 보이는데 위의 소스코드와 같이 확인했을 때 Value가 3보다 크고 4보다 작으면 문제가 해결되는 로직이다.user_lv의 Value를 3.5로 설정하니 문제가 해결됐다. old-15해당 문제는 접속하자 말자 Access_Denied가 출력되면서 접근을 하지 못한다.그렇기에 아래처럼..
보안 실무 관련 주요 용어1. Zero Trust Architecture (제로 트러스트 아키텍처)정의: 사용자와 시스템이 신뢰할 수 있는지 지속적으로 검증하는 보안 모델입니다. "신뢰하지 않고 항상 검증한다"는 원칙에 기반합니다.활용: 내부 및 외부 위협에 대응하기 위해 사용됩니다.2. Cloud Security Posture Management (CSPM)정의: 클라우드 환경에서 보안 위험과 오류를 식별하고 수정하는 프로세스입니다.활용: AWS, GCP, Azure 등 다양한 클라우드 플랫폼에서 사용됩니다.3. Identity and Access Management (IAM)정의: 사용자가 시스템에 접근할 수 있는 권한을 관리하는 프레임워크입니다.활용: 사용자 인증 및 권한 부여를 통해 보안을 강화합..
2025 보안 트렌드와 AI 관련 이슈2025년은 보안 분야에서 AI 기술의 발전과 함께 새로운 도전과 기회가 동시에 나타나는 시기입니다. 이 글에서는 2025년의 주요 보안 트렌드와 AI 관련 이슈를 다루겠습니다.1. AI 기반 보안 트렌드AI 기술은 보안 분야에서 점점 더 중요한 역할을 하고 있습니다. 특히, 데이터 보안 프로그램에서 AI의 활용이 두드러집니다. AI는 대량의 데이터를 분석하여 잠재적인 위협을 예측하고 자동으로 대응할 수 있습니다. 이는 전통적인 보안 시스템의 한계를 극복하는 데 큰 도움이 됩니다.1.1 AI 기반 보안 솔루션AI 기반 보안 도구는 예측형 위협 탐지와 자동화된 사건 대응을 통해 보안을 강화합니다. 이러한 솔루션은 빠르게 변화하는 사이버 위협에 대응하기 위해 필수적입니다..
Next.js의 SSR(Server-Side Rendering)과 SEO 최적화웹 개발의 트렌드가 변화함에 따라 사용자 경험과 성능, 그리고 SEO(Search Engine Optimization, 검색 엔진 최적화)의 중요성이 점점 더 부각되고 있습니다. 이 중에서도 Next.js는 이러한 문제를 해결하는 데 최적화된 프레임워크로 많은 주목을 받고 있습니다. 특히 SSR(Server-Side Rendering)을 통해 더 빠른 렌더링 속도와 뛰어난 SEO 성능을 제공하는 것이 큰 장점입니다. SSR이란? SSR은 Server-Side Rendering의 약자로, 클라이언트가 웹 페이지에 처음 접속할 때 서버에서 HTML을 미리 생성하여 클라이언트에게 응답해주는 방식입니다. 일반적인 클라이언트 사이드 렌..
[React] Context API와 Redux 비교
Context API와 Redux 비교리액트 애플리케이션에서 상태 관리를 위해 사용되는 두 가지 주요 도구는 Context API와 Redux입니다. 이 두 도구는 각각의 장점과 단점을 가지고 있으며, 사용 목적에 따라 적합한 도구를 선택해야 합니다. Context API Context API는 리액트 내장 기능으로, 컴포넌트 트리 전체에서 전역적인 데이터를 공유할 수 있게 해줍니다. 장점1. 간단한 사용법: Context API는 리액트 내장 기능으로, 외부 라이브러리를 설치할 필요가 없습니다. 기본적인 리액트 개념만 알면 쉽게 사용할 수 있습니다. 2. 적은 보일러플레이트: Context API는 설정 과정이 간단하며, 최소한의 보일러플레이트 코드로 사용할 수 있습니다. 3. 가벼운 상태 관리: 소규..