전체 글
-
-
Lab: DOM XSS in document.write sink using source location.search보호글 2025. 4. 12. 15:02
보호되어 있는 글입니다.
-
-
-
[Wargame] - what-is-my-ip정보보안 2024. 10. 7. 02:38
문제 페이지이다. 페이지에서는 아무것도 건들여볼게 없으니 바로 소스코드를 분석해보자. @app.route('/')def flag(): user_ip = request.access_route[0] if request.access_route else request.remote_addr try: result = run( ["/bin/bash", "-c", f"echo {user_ip}"], capture_output=True, text=True, timeout=3, ) return render_template("ip.html", result=result.stdout) except..
-
[Wargame] - xss-1정보보안 2024. 10. 7. 02:00
페이지로 들어가면 vuln, memo, flag 총 3개의 페이지가 존재한다.이를 모두 확인해보자.vuln(xss) page해당 페이지 URL 속 "param=" 구문이 실행되는 것을 보아 XSS 필터링이 없는 것 같다.memo해당 페이지는 URL속 "memo?memo=hello"가 출력되는 것을 보아 memo= 에 들어갈 값을 입력하면 이를 표시해주는 페이지인 것 같다.flagflag는 아까 위에서 XSS 필터링이 존재하지 않은 곳으로 파라미터 요청을 하는 페이지인 것 같다.그럼 이제 소스코드 분석을 해보자def read_url(url, cookie={"name": "name", "value": "value"}): cookie.update({"domain": "127.0.0.1"}) try:..
-
[Wargame] - phpreg정보보안 2024. 10. 4. 01:19
메인 화면step1에서는 위 input에 들어간 Nickname과 Password를 알아내야한다.이를 위해 문제에서 제공해준 step2.php 파일을 분석해보자.// pw filteringif (preg_match("/[a-zA-Z]/", $input_pw)) { echo "alphabet in the pw :(";}else{ $name = preg_replace("/nyang/i", "", $input_name); $pw = preg_replace("/\d*\@\d{2,3}(31)+[^0-8\"]\!/", "d4y0r50ng", $input_pw); if ($name === "dnyang0310" && $pw === "d4y0r50ng+1+13") {위 php코드에서 name과 pw를 대..
-
Flutter - iOS 카메라, 갤러리 사용App 2024. 9. 19. 01:22
iOS 디바이스에서 갤러리와 카메라를 사용하려면 시스템의 개인 정보 보호 데이터에 대한 사용을 허용해줘야한다.Xcode를 실행하고 아래 경로를 통해 Info.plist 파일을 찾는다.(Runner -> Runner -> Info.plist) 들어간 후, 상단에 Information Property List를 우클릭해 Add Row를 선택하여 아래 코드를 삽입하면 된다.액세스 코드갤러리Key : Privacy - Photo Library Usage Description Value : $(PRODUCT_NAME) photo use 카메라Key : Privacy - Camera Usage Description Value : $(PRODUCT_NAME) camera use 그리고 ..