Daily Report

해당 문제를 번역해보면 다음과 같다 Q. 아래 양식을 사용하여 users 테이블에서 모든 사용자를 검색하십시오. 전체 목록을 얻기 위해 특정 사용자 이름을 알 필요는 없지만 'Smith'를 사용하여 한 사용자의 데이터를 볼 수 있습니다. 문제에서 Smith라는 단서를 줬다. SQL 쿼리문을 참으로 만들어 Injection을 시도해본다. Smith' or 1=1 -- 를 대입하면 쿼리가 무조건 참이된다. Get Account Info 버튼을 클릭하게 되면 테이블 전체를 응답값으로 받게 된다. 그 다음 문제인 Numeric SQL Injection을 살펴보자. Q. 아래 양식을 사용하여 users 테이블에서 모든 사용자를 검색하십시오. 전체 목록을 얻기 위해 특정 사용자 이름을 알 필요는 없지만 '101'을..

WebGoat란 OWASP에서 제공되는 웹 보안 취약성을 내포한 웹 어플리케이션이다. XSS, Injection, Backdoor 등 각 웹 보안 취약성을 이해하고 공격 방법을 이해할 수 있도록 만들어져 있으며, 각 단계별로 풀어나가면서 웹 취약성에 대해 이해하고 대응할 수 있도록 도움을 준다. 설치순서 1. CentOS 시스템 업데이트 $ sudo yum install epel-release $ sudo yum update -y && sudo reboot 2. WebGoat 다운 wget https://github.com/WebGoat/WebGoat/releases/download/7.1/webgoat-container-7.1-exec.jar Build software better, together G..

버그 바운티? 기업의 서비스나 제품 등을 해킹해 취약점을 발견한 화이트해커에게 포상금을 지급하는 제도로, 기업들은 버그바운티를 통해 빠르게 보안 패치를 적용할 수 있다. 구글, 애플, 페이스북, 마이크로소프트(MS) 등 글로벌 기업에서 보안성을 고도화하기 위해 활발하게 시행 중이다. 국내에서는 2012년 이 제도를 도입했지만 취약점을 밝히는 것을 꺼려하는 기업 문화와 보안 불감증 등의 이유로 포상금도 적고 신고 건수도 저조한 상태다. 국내에서 버그바운티를 실시하는 곳은 삼성, 네이버, 카카오, 네오위즈, 한글과 컴퓨터 등이다. [네이버 지식백과] 버그바운티 (시사상식사전, pmg 지식엔진연구소) 버그 바운티 참고 URL https://noirstar.tistory.com/category/Security/..