건우Sec

TASK 1 Simple CTF 1. Answer : 1000포트 아래 포트들이 얼마나 운영중인가요? nmap -sV -sC -sT -Pn --script vuln 10.10.31.249 2. Answer : 가장높은 포트는 어떤 서비스를 이용중인가요?3. Answer : 해당 웹애플리케이션이 가지고있는 cve 취약점은 무엇인가요? apache 2 서비스를 운영중인 웹 애플리케이션이다. gobuster 툴을 이용해 숨겨진 경로를 확인해보자 gobuster dir -u [IP] -w [wordlist] /simple               (Status: 301) [Size: 313] [--> http://10.10.31.249/simple/]CMS 2.2.8 버전이다. 해당 CMS 2.2.8 버전은 S..

tryhackme owasp top 10 링크 주소https://tryhackme.com/r/room/owasptop102021 OWASP Top 10 - 2021Learn about and exploit each of the OWASP Top 10 vulnerabilities; the 10 most critical web security risks.tryhackme.com openvpn 체크 하시고 봐주세요 !!  1. Broken Access Control (취약한 접근제어) 2. Cryptographic Failures (암호화 오류) 3. Injection (인젝션) sql,command injection 등등... 4. A04: Insecure Design (불안전한 설계) 5. Securit..

SQL INJECTION 이란? SQL 언어 injection 주입하다 SQL 인젝션은 데이터베이스에 취약한 부분을 노려 회원에 아이디 패스워드를알아내거나 관리자 계정을 우회할수 있는 걸 SQL INJECTION 이라고 한다. 이렇게 데이터베이스가 멍청하면 생기는 일이다. 직접 해커가 데이터베이스한테 명령을 내려ID 는 admin 인데 비닐번호는 password 야 어디있는지 알아? 정상인 데이터베이스는 입구컷하지만 멍청한 데이터베이스는 그대로 admin 사용자를 찾아 그대로 내준다 SQL INEJCTION 기법들1. 구문우회 기법 1. ' OR '1'='1--2. ' OR '1'='1' -- 3. ' OR '1'='1'/* 4. ' OR 1=1-- 5. ' OR 1=1# 6. ' OR 1=1-- 7. ..