본문 바로가기
스터디/멘토링

[2020 하반기] 10/10 멘토링 3주차 웹해킹

by 맑은청이 2020. 10. 9.
728x90
반응형

안녕하세요~ 벌써 3주차 멘토링을 진행하게 되었습니다~ 오늘은 써니나타스 나머지 문제를 풀어볼거에요~

오늘의 목표들입니다. 열심히 해봐야겠져? 

 

열심히 한 자에게는 복이 온다! 열심히 해봅시다. 

 

 

 

문제를 풀기 전 배경지식에 대해 알아볼까요?

 

1. SQL Injection 

 

SQL 쿼리문과 SQL 에 대해 먼저 알아야합니다. 

이번 주엔 굉장히 바빴음으로 자료를 블로그에 정리 못했습니다... 이해 부탁드려요. 대신 제가 여러 군데 뒤져서 괜찮은 글들을 찾아냈어요.....

 

 

-SQL 이란?

blog.yena.io/studynote/2018/10/02/DBMS-SQL.html

 

[SQL] DBMS와 SQL이란

DBMS (Database Management System) 데이터베이스란? 대량의 정보를 컴퓨터가 효율적으로 접근할 수 있도록 가공 및 저장한 것. DBMS란? 다수의 사용자들이 데이터베이스 내의 데이터를 접근할 수 있도록 ��

blog.yena.io

 

-SQL 쿼리문 정리

sosobaba.tistory.com/124

 

[데이터베이스] SQL Query문 간단 정리 (SELECT, INSERT, UPDATE, DELETE 쿼리문 사용법)

안녕하세요 마블랑입니다. 가끔 데이터베이스와 연동하는 프로그램을 구현해야할때가 있습니다. 어렵지 않은 쿼리문인데도 헷갈리기 때문에 포스팅을 통해서 정리를 해두려고 합니다~ 데이터�

sosobaba.tistory.com

 

-SQL Injection

noirstar.tistory.com/264

 

SQL Injection 이란? (SQL 삽입 공격)

1. SQL Injection  1.1 개요 Ÿ   SQL Injection SQL Injection 이란 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작

noirstar.tistory.com

 

 

2. md5 해시함수 

 

암호학적으로 해시 함수란? 

m.blog.naver.com/PostView.nhn?blogId=mage7th&logNo=221494489570&proxyReferer=https:%2F%2Fwww.google.com%2F

 

[ 해시알고리즘 ] 해시함수의 특성 및 개념 이해 - 블록체인을 중심으로

1. 개념이해 : 해시함수란 무엇인가?블록체인, 암호화폐 기술에 대한 내용에 항상 등장하는 것 중 하나가 ...

blog.naver.com

 

Message-Digest Algorithm 5

 MD5는 1991년에 로널드 라이베스트가 이전에 쓰이던 MD4를 대체하기 위해 고안된 알고리즘입니다.

이 분은 RSA를 개발한 R에 속하는 분입니다.

 

 MD5는1996년에 설계상의 결함이 발견되었습니다. 당시에는 매우 치명적인 결함은 아니였지만 암호학자들은 해시용도로 SHA1 이상의 안전한 알고리즘을 권장했습니다.

 

하지만 2004년에 더욱 심한 결함이 발견되었고, 2006년에는 노트북 한대로 1분내에 해시 충돌을 찾을 정도의

빠른 알고리즘이 발표되어 현재는 거의 사용되지 않고 있습니다.

결론 : MD5 알고리즘은 보안관련 용도로 권장하지 않는다.

 

MD5을 해독하는 사이트

md5hashing.net/hash/md5/65038b0559e459420aa2d23093d01e4a

 

Hash md5: 65038b0559e459420aa2d23093d01e4a

Decoded hash md5: 65038b0559e459420aa2d23093d01e4a: suninatastopofworld! (unhashed, decoded, lookup, decrypted, decoded)

md5hashing.net

 

 

 

 

써니 나타스 6번 문제에 사용되는 SQL Injection 우회문

3. Key Code

키코드는 우리가 사용하는 키보드의 번호를 나타내는 겁니다.

 

 

type = "submit" : 폼의 전송 기능 

type = "reset" : 폼 작성 내용 초기화

type = "button" : 버튼 

 

"submit" 버튼을 누르면 form 안에서 작성한 내용이 form action 에 작성된 경로로 보내지게 됩니다. 

또한 개발자는 콘솔을 이용해서 자바스크립트를 실행하고 실제 페이지에 요청을 할 수 있습니다.

 

 

7,8번은 유사한 문제로 공격 코드 작성 법만 알면 된다.  

728x90
반응형
저작자표시 비영리 변경금지

'스터디 > 멘토링' 카테고리의 다른 글

[2020 하반기] 멘토링 후기  (0) 2020.12.07
[2020 하반기] 11/07 멘토링 5주차 시스템 해킹  (1) 2020.11.07
[2020 하반기] 10/31 멘토링 4주차 리버싱  (0) 2020.10.30
[2020 하반기] 10/04 멘토링 2주차 웹해킹  (0) 2020.10.04
[2020 하반기] 09/26 멘토링 1주차  (1) 2020.09.26

관련글

티스토리툴바