본 티스토리 블로그는 PC에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요 Authentication - Brute forcing3 본 네이버 블로그는 모바일에 최적화되어 있습니다.PC 유저분들은 아래 티스토리 블로그를 이용해 주세요... blog.naver.com Lab: Username enumeration via response timing 이번 문제도 브루트 포싱을 통한 로그인 인증 우회 문제입니다. 한번 뚜껑을 열어 보도록 하겠습니다. 1. 문제 내용 현재 주어진 계정 wiener:peter 정보와 My account 페이지의 정보를 이용해 브루트 포싱을 진행하라고 힌트를 던져 주었습니다. 접속화면) 한번 주어진 계정으로 로그인 시도해 보도록 하겠습니다. 이미 제가 ..

본 티스토리 블로그는 PC에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요 Authentication - Brute forcing2 본 네이버 블로그는 모바일에 최적화되어 있습니다.PC 유저분들은 아래 티스토리 블로그를 이용해 주세요... blog.naver.com Lab: Username enumeration via subtly different responses 이번 시간에도 문제를 이어서 풀어 보도록 하겠습니다. 이전 공격 방식과 동일하니 한번 연습 겸 풀어 보는 것도 나쁘지 않습니다. 그럼 문제를 확인해 보도록 하겠습니다. 1. 문제 내용 이번 문제도 저번 문제와 마찬가지로 브루트 포싱 문제 계열입니다. 대입 후보 데이터들도 문제에서 이미 제시해 준 상황입니다. 한번 ..

본 티스토리 블로그는 PC에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. Authentication - Brute forcing1 본 네이버 블로그는 모바일에 최적화되어 있습니다.PC 유저분들은 아래 티스토리 블로그를 이용해 주세요... blog.naver.com Lab: Username enumeration via different responses 인젝션 파트 중 바인드 인젝션 부분에서 문제 해설 중 약간의 문제가 발생하여 업로드가 조금 지연되는 점 양해 부탁드립니다. 저번 문제는 sql 인젝션 주제였다면 이번 문제부터는 웹 인증 우회에 관한 내용입니다. 한번 문제를 확인해 보도록 하겠습니다. 1. 문제 내용 기본적인 로그인 인증 취약점을 이용한 브루트 포싱(무작위 대..

본 티스토리 블로그는 PC에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. Lab: SQL injection attack, listing the database contents on non-Oracle databases Examining the database2 문제에 해당하는 Lab: SQL injection attack, ... on MySQL and Microsoft는 이전에 풀었던 문제와 동일하기에 cheetsheet를 잘 읽어 보고 문법만 맞춘다면 바로 풀리는 문제이므로 따로 해설을 진행하지 않도록 하겠습니다. 1. 문제 내용 이번 문제도 저번에 풀었던 문제와 비슷하게 관리자로 로그인해야 하는 문제입니다. 다만, 계정 정보가 존재하는 테이블 이름을 주지 않았고 오라..

본 티스토리 블로그는 PC에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. SQL injection - UNION3(Examining the database3) 본 네이버 블로그는 모바일에 최적화되어 있습니다.PC 유저분들은 아래 티스토리 블로그를 이용해 주세요... blog.naver.com Lab: SQL injection attack, querying the database type and version on Oracle 1. 문제 내용 이번 문제는 웹사이트에서 운용되고 있는 DBMS 버전 정보를 유출시켜야 합니다. DBMS 종류는 오라클이므로 Oracle의 버전 정보를 담고 있는 부분의 정보를 쿼리하도록 인젝션 해야겠습니다. 일단 cheet sheet를 확인해 보도록..

본 티스토리 블로그는 PC에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. SQL injection - UNION3 본 네이버 블로그는 모바일에 최적화되어 있습니다.PC 유저분들은 아래 티스토리 블로그를 이용해 주세요... blog.naver.com Lab: SQL injection UNION attack, retrieving data from other tables 1. 문제 내용 저번 문제와 동일하게 카테고리 필터 부분에 sql 인젝션 취약점이 존재하며 서버에 존재하는 user 테이블 내부 데이터 username, password를 유출시켜야 합니다. 유출된 데이터를 이용하여 administrator 즉, 관리자 권한으로 로그인해야 문제가 풀립니다. 1.1 접속화면 일단..