What i did
웹 해킹에 대해 알아보았다.
What I learn
웹은 HTTP를 이용해 정보를 공유하는 서비스 이고, HTTP는 서로 통신을 하기 위해 정해둔 일종의 규칙이다. 중요한 것은 XSS 였는데 Cross Site Scripting을 가르키는 말이다. 악의적인 스크립트를 페이지에 삽입해 해당 스크립트를 실행하게 만드는 공격이다. 공격기법에는 DOM-based XSS, Reflected XSS, Stored XSS 가 있다. 이에 대한 대응이 다양하게 필요한 것 같다.
step 1에서는 getget과 rerequest를 넣으면 2로 넘어가고, 2 에서는 pooost와 requeeest를 넣는다.
burpsuite를 이용한 문제 1번에서는 프록시를 끈 채로 사이트에 들어가는 과정에서 intercept를 켜서 '+OR+1=1--를 입력하고 forward로 보내면 입력한 글자가 화면에 뜬다.
두 번째에서는 마지막 Id 부분에 whoami를 입력하고 forward로 보내면 사용자의 정보가 나타난다.
Weekly Challenge & Issues
1. fiddler를 설치하고 설정을 추가한 후 출력되는 내용 관찰, header로 다양한 정보 확인
f11을 누른 후( Break Point 활성화) 접속되는 사이트의 표시와 추가되는 옵션
2. Sqlmap을 설치한 이후에 위치를 c로 옮겨서 압축을 풀었다. 서버를 생성하고 uid를 추가한 주소를 생성했다. python sqlmap.py -u "생성한 url" -v 5 까지는 딱히 큰 문제 없이 입력이 되는 것 같았다. 하지만 python sqlmap.py -u "주소" -v 5 --dbms="Microsoft SQL Server" --os="Windows" --dbs 부터 뒤의 모든 부분에서
라는 문구가 뜨면서 더 이상 진행이 되지 않았다.
Solution
Sqlmap 설치 확인을 해도 잘 설치가 되어있고 잘못 입력한 부분도 없는데 자꾸 멈췄다. gpt에게 물어봐서 사용자 에이전트를 변경해보고, --risk, --level 옵션도 조정해보고, 컴퓨터의 보안을 우회하기 위해 --tamper=space2comment와 같은 옵션도 추가하는 등 다양한 것들을 더하여 계속 입력을 해봤는데도 원하는 결과는 나오지 않고 다양한 방식의 오류만 났다. 어떠한 코드를 적어봐도 더 진전이 없었다.