보호되어 있는 글입니다.
Wargame/Web
보호되어 있는 글입니다.
보호되어 있는 글입니다.
http://suninatas.com/challenge/web22/web22.asp Game 22 select / Union / or / white space / by / having from / char / ascii / left / right / delay / 0x .......... suninatas.com [문제] [풀이] Blind Sql Injection 문제이다. 먼저 guest/guest로 로그인 해보았다. 정상적으로 로그인 된다. admin 계정의 비밀번호를 알아내면 문제가 풀린다. 먼저 admin 계정이 있는지 확인하는 SQL 문을 짜준다. admin' and 1=1-- id에 위 SQL을 넣으면 admin 계정이 있다는 것을 확인할 수 있다. 비밀번호를 알아내는 sql injectio..
https://portswigger.net/web-security/file-path-traversal/lab-superfluous-url-decode Lab: File path traversal, traversal sequences stripped with superfluous URL-decode | Web Security Academy This lab contains a file path traversal vulnerability in the display of product images. The application blocks input containing path traversal sequences. It ... portswigger.net [문제] [풀이] 파일 경로를 우회하는 문제이다. 이미지..
https://portswigger.net/web-security/csrf/lab-no-defenses Lab: CSRF vulnerability with no defenses | Web Security Academy This lab's email change functionality is vulnerable to CSRF. To solve the lab, craft some HTML that uses a CSRF attack to change the viewer's email address ... portswigger.net [문제] [풀이] 문제 설명을 보면 이메일 변경 기능이 취약하고 csrf 공격 html 코드를 짜서 피의자의 이메일 주소를 변경 시키면 문제가 풀린다. 이번 문제에서는 서버가 주어..
https://portswigger.net/web-security/cross-site-scripting/dom-based/lab-innerhtml-sink Lab: DOM XSS in innerHTML sink using source location.search | Web Security Academy This lab contains a DOM-based cross-site scripting vulnerability in the search blog functionality. It uses an innerHTML assignment, which changes the HTML ... portswigger.net [문제] [풀이] 검색 결과를 확인해서 xss를 진행한다. 소스코드를 확인한다. 검색하게되면 밑..
https://portswigger.net/web-security/access-control/lab-user-role-controlled-by-request-parameter Lab: User role controlled by request parameter | Web Security Academy This lab has an admin panel at /admin, which identifies administrators using a forgeable cookie. Solve the lab by accessing the admin panel and using it to ... portswigger.net [문제] [풀이] 어드민 패널에 접속해서 carlos 계정을 삭제하면 문제가 풀린다. 그냥 /ad..
