url(3)
-
DreamHack [web] web-ssrf
dreamhack webhacking의 ssrf에서 파생된 워게임이다. 서버에 접속하면 /home /about /contact 경로가 있다. 아래 image viewer를 누르면 해당 화면이 출력된다. view를 클릭하면dreamhack 이미지가 나오고소스 코드를 확인해보면 엄청 긴 base64로 encoding된 소스 코드를 확인할 수 있다.(밑으로 더 길게 있다,,,) 플래그가 있는 경로 /app/flag.txt를 입력하면 해당 화면이 출력된다.해당 화면에서 출력되는 인코딩형식을 디코딩하면 404 Not Found Not Found The requested URL was not found on the server. If you entered the URL manually please check ..
2024.05.06 -
SSRF
HTTP 라이브러리PHP : php-curlNodeJS : httppython : urllib, requests => HTTP 요청을 보낼 client 뿐만 아니라 server와 server간 통신을 위해 사용되기도 한다. SSRF (Server-Side Request Forgery)웹 서비스의 요청을 변조하는 취약점브라우저가 변조된 요청을 보내는 CSRF와는 다르게 웹 서비스의 권한으로 변조된 요청을 보낼 수 있다. 웹 서비스가 보내는 요청을 변조하기 위해서는 요청 내에 이용자의 입력값이 포함돼야 한다. ex1) 웹 서비스가 이용자가 입력한 URL에 요청을 보내는 경우image_downloader이용자가 입력한 image_url을 requests.get 함수를 사용해 GET 메소드로 HTTP 요청을 보..
2024.05.06 -
web
웹에서 처리하는 정보 자산들이 많아짐에 따라 이들을 안전하게 보관하고 처리해야 할 필요성도 함께 증가하였다. 그래서 웹을 통한 정보의 교환 과정에서 이러한 민감한 정보들이 유출되거나 악용되지 않도록 보호하는 웹 보안의 중요성이 대두하고 있다. web : 인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스 - front-end: 이용자의 요청을 받는 부분 / baxk-end: 요청을 처리하는 부분 web resource : 웹에 갖춰진 정보 자산 - 모든 웹 리소스는 고유의 URL을 가지며, 이를 이용하여 식별된다 - HTML: 웹 문서에서 태그와 속성을 통한 구조화된 문서 작성을 지원 - CSS: 웹 리소스들의 시각화 방법을 기재한 스타일 시트 - JS: 웹 문서의 동작을 정의..
2023.10.12