웹 보안을 공부하면서 HTML 문법 공부의 우선순위가 그리 높진 않다고 생각한다. 취약점이 발생하는 부분은 PHP 문법이나 SQL, NoSQL언어 또는 웹 서버를 구동하는 웹 프레임워크 문법이 훨씬 중요하다고 생각하지만 드림핵에서 문제 파일을 다운로드 받고 HTML문서를 확인할 때면 HTML문법을 잘 몰라서 HTML 문서가 눈에 잘 들어오지 않는다. 그래서 문제 풀 때 자신감도 많이 떨어지는 것 같아서 기본적인 문법에 대해 공부해보도록 하겠다. 순서 1. 기본 지식 2. DOCTYPE 3. : HTML 문서의 시작이다. 문서 끝에 태그를 사용해서 HTML문서의 끝을 나타낸다. ... charset 속성을 통해 인코딩 방식을 설정할 수 있다. 위와 같은 방식으로 사용하며 "utf-8" 외에도 한국에서만 사..

그냥 강의만 읽어보고 외우려고 했는데 새롭게 배운 내용이 많을 것 같아서 작성한다. https://learn.dreamhack.io/306#3 로그인 | Dreamhack dreamhack.io 나는 하나의 서버가 하나의 Database를 가질거라는 잘못된 지식을 갖고 있었던 것 같다. 그래서 처음 System Table에 대해 배울 때 꽤 혼란스러웠다. 공부한 내용을 정리하겠다. 모의해킹은 Penetration Testing Execution Standard(PTES)에 의하면 총 일곱가지 단계로 구성되어 있다. 처음 과정에서 공격 대상을 지정하고 대상의 정보를 수집하는 과정을 핑커프린팅(fingerprinting)이라고 한다. 공격 대상이 사용한는 웹 서버와 개발 언어, DBMS와 내부정보 등을 알아..

공격코드 참조 https://learn.dreamhack.io/175#6 로그인 | Dreamhack dreamhack.io 공격코드(이전에 올렸던 패스워드 길이 파악 코드를 이해할 수 있다면 쉽게 이해할 수 있을 것 같다.) 이전에 올렸던 패스워드 길이 파악 글에서 _find_password 메소드만 추가되었으므로 이 메소드에 대한 것만 다루겠다. 참고로 여기있는 글을 복사해서 실행하면 들여쓰기 문제 때문에 실행이 안된다. #!/usr/bin/python3.9 import requests import sys from urllib.parse import urljoin class Solver: """Solver for simple_SQLi challenge""" # initialization def __i..

함수 호이스팅(hoisting) 전역변수로 설정된 변수를 함수내부에서 다시 변수를 선언할 경우 함수가 실행될 때 그 변수는 초기화된다.? 예를 들어 var a = 10; function abc() { document.write("a의 값은 " + a + "입니다."); //a -> undefined값이 된다. var a = 20; //함수가 실행될 때 var a; 가 실행되는것과 다름없다. document.write("a의 값은 " + a + "입니다."); //a -> 20이 된다. } 아래의 경우는 정상적으로 작동한다. var a = 10; function abc() { document.write("a의 값은 " + a + "입니다."); //a -> 10이 된다. a = 20; //a를 다시 선언하..