전체 글(179)
-
[모의해킹 프로젝트] R Com : 증적 사진 분류 019, 021, 027 #2-2
019 불충분한 이용자 인증 1) My Page 페이지 설명 개인정보 및 비밀번호 수정 기능 페이지 접근 시 본인인증 재인증 기능이 존재하지 않은 취약점 발견 위치 URL : http://ctf.segfaulthub.com:1505/mypage.php 취약점 검증 방법 BOARD, FILE BOARD, ANONYMOUS BOARD 페이지 오른쪽 상단의 My Page 버튼을 클릭하면 로그인되어있는 현재 계정의 개인정보 및 비밀번호 수정 기능 페이지로 접근이 가능하다. 증적 사진 021 자동화공격 1) BOARD 페이지 게시글 작성 설명 BOARD 게시글 작성 코드를 파이썬으로 작성하여 반복적으로 게시글을 작성 할 수 있는 취약점 발견 위치 URL : http://ctf.segfaulthub.com:1505..
2024.03.20 -
[모의해킹 프로젝트] R Com : 증적 사진 분류 001, 003, 006 #2-1
001 SQL Injection 1) Blind SQL Injection [1] BOARD, FILE BOARD, ANONYMOUS BOARD 게시글 검색 기능 설명 BOARD, FILE, BOARD, ANONYMOUS BOARD 페이지에서 게시글 검색 시 사용되는 order 파라미터에서 SQL 명령어 삽입 가능한 취약점 발견 위치 URL : http://ctf.segfaulthub.com:1505/index.php?page= 파라미터 : order 취약점 검증 방법 order 파라미터에 '1'='1' and와 '1'='2' and를 입력했을 때 참일 경우 게시글이 출력되고 거짓일 경우 게시글이 하나도 출력되지 않는 것으로 보아 참과 거짓의 결과를 판단할 수 있어 Blind SQL Injection 공격..
2024.03.20 -
[모의해킹 프로젝트] R Com : 모의해킹 #1
모의해킹 프로젝트 : R Com 취약점 점검 대상 : R Com 취약점 점검 대상 도메인 : http://ctf.segfaulthub.com:1505/login.html 취약점 판단 기준 : 전자금융기반시설 보안 취약점 평가기준 취약점 점검 툴 : Burp Suite, Wireshark, python 취약점 : SQL Injection [판단 기준] 사용자가 간섭 가능한 매개변수(URL 파라미터, XML 등)에 의해 SQL 질의문이 완성되는 점을 이용하여, 해당 매개변수 변조를 통해 비정상 질의 가능 여부를 점검 [발견된 취약점 정보] URL 파라미터 메뉴 http://ctf.segfaulthub.com:1505/index.php?page= search_value Main > SEARCH order Ma..
2024.03.20 -
[모의해킹 프로젝트] First Board : 보고서 #3 2024.03.16
-
[모의해킹 프로젝트] First Board : 증적 사진 분류 028, 029, 041 #2-3
028 CSRF 1) 자유게시판 게시글 수정 설명 임의의 사용자의 권한으로 자유게시판 게시글의 수정을 요청하게 만드는 취약점 발견 위치 URL : http://ctf.segfaulthub.com:5498/update.php 파라미터 : idx, title, content 취약점 검증 방법 XSS 취약점이 존재하는 위치 중 한 곳인 게시글 내용 부분에 form 태그로 idx 파라미터에는 수정하고자 하는 게시글의 번호를, title 파라미터에는 수정하고자 하는 게시글 제목 부분에 변경할 내용을, 그리고 content 파라미터에는 수정하고자 하는 게시글 내용 부분에 변경할 내용을 입력한 스크립트를 삽입하고 게시글을 작성한다. 작성한 게시글을 열람하게 되면 클라이언트의 웹 브라우저에서 스크립트가 작동하여 열람한..
2024.03.15 -
[모의해킹 프로젝트] First Board : 증적 사진 분류 006, 021, 027 #2-2
006 유추가능한 인증정보 이용 1) 회원가입 페이지 설명 회원가입 시 복잡도를 준수하지 않은 비밀번호를 등록할 수 있는 취약점 발견 위치 URL : http://ctf.segfaulthub.com:5498/sign_up_search.php 파라미터 : passw 취약점 검증 방법 회원가입 페이지에서 연속된 숫자 혹은 동일한 숫자로 이루어지는 등의 비밀번호 복잡도를 준수하지 않은 비밀번호를 입력 후 회원가입 버튼을 클릭하면 성공적으로 회원가입을 할 수 있다. 증적 사진 021 유추가능한 인증정보 이용 1) 게시글 작성 설명 게시글 작성 코드를 파이썬으로 작성하여 반복적으로 게시글을 작성할 수 있는 취약점 발견 위치 URL : http://ctf.segfaulthub.com:5498/write_ok.php..
2024.03.15