전체 글 (128) 썸네일형 리스트형 dvwa sql injection (blind) sql의 결과를 참, 거짓으로만 반환하는 경우에 사용할 수 있습니다. 뭔가 설정이 잘못되었는지 다 나오고 있긴 하지만 참, 거짓만 나온다 가정하고 그냥 진행해 보겠습니다. 우선 ' or length(database()) =1#를 입력해 봅니다. 데이터베이스의 글자 길이가 1인지를 묻습니다. 아무 반응이 없는것을 보니 아닌가 봅니다. 이렇게 쭉 입력해 봅니다. 4를 입력했을 때 성공적으로 나옵니다. 지금 데이터베이스 이름의 길이가 4인가 봅니다. 사실 1' union select 1, database()# 를 입력해서 바로 알아낼 수 있기도 합니다. 하지만 블라인드인 경우에는 이렇게 알아낼 수 없습니다. 그 대신 1' or substr(database(),1,1)='d'# 를 이용해서 알아볼 수는 있습니다.. 웹 개발 - 프로젝트 2 - 2. streak lover 프론트 계속해서 프론트 디자인을 해봅시다. streak우선 nav bar부터 만들어 봅시다. 클릭했을 때 어떤 페이지로 이동할지 만들어 둔 것입니다. 하지만 지금은 페이지가 하나밖에 없으므로 그냥 형식만 만들어 줍니다. 그럼 아래와 같이 보입니다. 이제 스트릭의 틀을 만들어 줍니다. 아래는 깃허브에서 보여주는 streak입니다. 이 모양을 이용해 만들어 줄 것입니다. 하지만 지금 만들진 말고 틀만 잡아줍시다. 여기까지 하면 아래와 같이 나옵니다.title로 제목을 전달해 줄 수 있습니다. 인자를 받을 수 있으니 인자를 넘겨줄 수도 있어야 겠지요. 다음과 같이 넘겨줄 수 있습니다. 구조전체적인 구조는 아래와 같습니다. component에는 여러 곳에서 사용하는 요소들을, page에는 페이지 단위의 작업을 넣어두었.. dvwa CSRF CSRF 공격은 사용자가 자신도 모르게 공격자가 원하는 행동을 하게 만드는 공격 방법입니다. DVWA를 실행하고 CSRF로 이동합니다. burpsuite를 실행하고 password에 1234를 입력한 뒤 실행해 봅니다. 그럼 이벤트를 잡을 수 있습니다.단순히 get으로 보내고 있습니다. 이 정보를 복사해 봅시다. 이 url에서 아이디, 비밀번호를 적당히 바꾼 다음 그 url을 실행하도록 유도하면 됩니다. 가짜 사이트를 만들거나 메일로 링크 클릭을 유도하면 됩니다. 이전 1 ··· 11 12 13 14 15 16 17 ··· 43 다음
