모의해킹 project3 - SB커뮤니티 보고서 보호되어 있는 글 입니다. 2023. 1. 21. 모의해킹 project3 - SB커뮤니티 ▶ 작성하기에 앞서 여러모로 신경쓸게 많았던 2주였다. 또한, 연휴동안 9991번 포트를 실수로 털어서 모의해킹 대상인 9575번 포트는 이틀 동안만 털고 보고서를 작성해서 걱정이 많았다. 운이 좋게도 download.php에서 SQL Injection 취약점을 찾은 뒤에 보고서를 작성해서 취약점을 그나마 많이 찾을 수 있었지 않았나 싶다. 저번과 동일하게 SQLi, XSS, CSRF 등의 대표적인 취약점만 게시할 예정이다. ▶ SQL Injection [1] delete.php, ask_del.php : 비밀번호란 혹은 no 파라미터에 다음과 같은 쿼리문을 주입하면 내 계정으로(ask_del의 경우 그냥) 비밀번호를 우회해서 삭제할 수 있다(SQLi 취약점으로 비밀번호 우회가능). no = 228' a.. 2023. 1. 21. Matlab으로 4대 대장주 시뮬레이터 만들기 ▶ 배경 이걸 만들 당시(2020년 상반기)에 주식붐이 엄청 일어났었다. 그래서 주식 시뮬레이터를 내가 직접 만들어보는 것은 어떨까 생각하여 만들게 되었고, 엄청나게 많은 시행착오를 거쳐 몇 번의 수정사항을 거쳐서 완성했다. 어떻게 만들었는지 그 과정과 결과물을 기록하기 위해서 해당 글을 작성한다. 단, 프로그래밍을 하나도 몰라서 Matlab으로 만들었다. 또한, 비전공자라 좀 많이 빼먹은 지식이 많다. 2020년 당시 학부생의 소꿉장난이라고 생각하고 애교로 봐주시면 감사할 것 같다. ▶ 배경지식 (혹은 시뮬레이터 설정) 기준금리에 따라 투자시장의 활성화, 주가의 등락이 결정된다고 가정한다. 주식 가격의 등락 모델링은 Black-Sholes 식을 기준으로 구성했다. 여기서, 내 능력의 한계로 몇가지 제약.. 2023. 1. 19. 모의해킹 project2 - JH커뮤니티2 보고서 보호되어 있는 글 입니다. 2023. 1. 19. 모의해킹 project2 - JH커뮤니티 ▶ 작성하기에 앞서 다른 사람의 홈페이지를 모의해킹하는건 더 어렵다. 역시 소스코드를 알고 모르고의 차이는 큰 것 같다.(결국 나중에 file download 취약점을 발견해서 소스코드를 보고 하긴 했지만). 나는 어떤 취약점을 찾았고 어떤 점을 학습했는지 서술하고자 한다. ▶ SQL Injection SQLi 의 세계는 오묘하다. 한계가 있는 것 같으면서도 한계가 없다. 이번에 게시글 No 조회에 SQLi를 수행하면서 그러한 생각이 더 들었다. [1] address_view.php, address_server.php 페이지 : 마지막에 찾은 SQLi 취약점이다. address 조회에 SQLi 취약점이 있으리라 잘 생각 못할 것이다. 나도 그랬고. 어떤 Payload를 넣으면 SQLi를 수행할 수 있는지.. 2023. 1. 15. 모의해킹 project1 - JH커뮤니티 보고서 보호되어 있는 글 입니다. 2023. 1. 13. 이전 1 2 3 4 5 다음
