워게임/Hack The Box

[Starting Point] TIER 1 - Appointment

  • -

Question

What does the acronym SQL stand for?

번역: 약자 SQL은 무엇을 의미하나요?

상세 풀이

SQL이라는 약자는 "Structured Query Language(구조화된 질의 언어)"를 의미합니다. 이 언어는 데이터베이스 관리 시스템(DBMS)에서 데이터를 관리하고, 검색하고, 추가하고, 수정하고, 삭제하는 데 사용되는 프로그래밍 언어입니다. 주로 관계형 데이터베이스를 다루기 위해 개발되었으며, 데이터베이스 스키마를 생성하거나 수정하는 작업도 가능합니다. SQL은 데이터베이스 관련 직종에서 널리 사용되며, 데이터 분석가, 데이터 사이언티스트, 데이터 엔지니어 등 다양한 분야에서 필수적인 기술로 간주됩니다.

정답

Structured Query Language


What is one of the most common type of SQL vulnerabilities?

번역: 가장 일반적인 SQL 취약점 유형 중 하나는 무엇인가요?

상세 풀이

SQL 인젝션은 흔한 SQL 취약점 중 하나로, 악의적인 SQL 코드를 주입하여 데이터베이스를 공격하는 방법입니다. 사용자 입력값 검증 또는 필터링이 부족할 경우 발생할 수 있습니다. 공격자는 악의적인 코드를 이용해 데이터베이스 정보를 노출시키거나 조작할 수 있습니다. 이로 인해 기업이나 개인에게 큰 피해가 발생할 수 있으며, SQL 인젝션 방어를 위해 사용자 입력값을 엄격하게 검증하고 필터링해야 합니다.

정답

SQL Injection


What does PII stand for?

번역: PII는 무엇을 의미하나요?

상세 풀이

개인식별정보(PII)는 특정 개인을 식별할 수 있는 정보를 의미합니다. 이러한 정보에는 이름, 주민등록번호, 주소, 전화번호, 이메일 주소 등이 포함됩니다. 개인식별정보는 불법적인 목적으로 사용될 수 있기 때문에, 보안 및 개인정보 보호에 매우 중요한 요소입니다. 기업이나 개인은 개인식별정보를 적절하게 관리하고 보호할 책임이 있으며, 정보 유출 시 법적 책임을 물을 수 있습니다. 따라서 개인식별정보 보호를 위한 기술 및 정책이 중요한 사회적 이슈로 다뤄지고 있습니다.

정답

Personally Identifiable Information


What is the 2021 OWASP Top 10 classification for this vulnerability?

번역: 이 취약점은 2021년 OWASP Top 10 분류에서 어떻게 분류되나요?

상세 풀이

2021년 OWASP 상위 10개 취약점 중 SQL 인젝션은 A03:2021-Injection에 해당됩니다. 이 분류는 SQL 인젝션 외에도 LDAP, NoSQL, ORM, XML, SSI 및 OS 명령어 주입 등과 같은 다양한 주입 공격을 포함하고 있습니다. 주입 공격은 공격자가 악의적인 코드를 시스템에 주입하여 실행하거나 데이터를 조작하는 공격 유형입니다. 이러한 공격은 대부분 입력값 검증이나 적절한 출력 인코딩이 부족할 때 발생하며, 적절한 보안 대책으로 방어할 수 있습니다.

정답

A03:2021-Injection


What does Nmap report as the service and version that are running on port 80 of the target?

번역: 대상의 80 포트에서 실행 중인 서비스와 버전을 Nmap이 어떻게 보고하는가요?

상세 풀이

정답

Apache httpd 2.4.38 (Debian)


What is the standard port used for the HTTPS protocol?

번역: HTTPS 프로토콜에 사용되는 표준 포트는 무엇인가요?

상세 풀이

HTTPS 프로토콜의 표준 포트는 443번입니다. HTTPS는 HTTP 프로토콜의 보안 강화 버전으로, SSL/TLS를 이용해 통신 내용을 암호화합니다. 이로 인해 중간자 공격 등을 방지하고, 사용자의 개인정보와 데이터를 안전하게 보호할 수 있습니다. 웹 브라우저와 웹 서버 간의 통신에서 HTTPS를 사용하면, 데이터 전송이 암호화되어 외부 공격자로부터 보호됩니다. 따라서 민감한 정보를 다루는 웹사이트나 서비스에 HTTPS 사용이 권장됩니다.

정답

443


What is a folder called in web-application terminology?

번역: 웹 애플리케이션 용어에서 폴더는 무엇이라고 불리우나요?

상세 풀이

웹 애플리케이션 용어에서 폴더는 보통 "디렉토리(directory)"라고 불립니다. 디렉토리는 파일이나 다른 디렉토리를 포함하는 구조로, 웹 애플리케이션의 구성 요소를 계층적으로 구분하고 정리하는 데 사용됩니다. 웹 서버에서는 각 디렉토리에 접근 권한을 설정하여 파일 및 폴더의 사용을 제어할 수 있습니다. 웹 애플리케이션에서 디렉토리 구조를 사용하면, 소스 코드와 리소스를 쉽게 관리하고 개발자들이 협업을 효율적으로 수행할 수 있습니다.

정답

directory


What is the HTTP response code is given for 'Not Found' errors?

번역: Not Found' 오류에 대한 HTTP 응답 코드는 무엇인가요?

상세 풀이

'Not Found' 오류에 해당하는 HTTP 응답 코드는 404입니다. 404 오류는 클라이언트가 요청한 리소스가 서버에서 찾을 수 없을 때 발생합니다. 이런 경우, 웹 서버는 404 상태 코드와 함께 오류 메시지를 클라이언트에게 반환합니다. 이 오류는 요청한 페이지가 삭제되었거나, 이동되었거나, URL이 잘못 입력되었을 때 발생할 수 있습니다. 웹 개발자들은 404 오류 페이지를 사용자 친화적으로 디자인하여 사용자 경험을 개선할 수 있으며, 웹 사이트의 내부 링크를 정기적으로 검토하여 'Not Found' 오류를 줄일 수 있습니다.

정답

404


Gobuster is one tool used to brute force directories on a webserver. What switch do we use with Gobuster to specify we're looking to discover directories, and not subdomains?

번역: Gobuster는 웹 서버의 디렉토리를 무차별 대입 공격으로 찾아내는 도구 중 하나입니다. Gobuster를 사용하여 디렉토리를 찾고, 서브도메인이 아닌 것을 지정하려면 어떤 스위치를 사용해야 하나요?

상세 풀이

Gobuster를 사용하여 디렉토리를 무차별 대입 공격으로 찾아내고 서브도메인이 아닌 것을 지정하려면 '-m' 또는 '--mode' 스위치를 사용합니다. 이 스위치는 Gobuster가 작업할 모드를 지정하는 데 사용되며, 'dir' 모드를 선택하면 디렉토리 탐색에 초점을 맞춥니다. 예를 들어, Gobuster를 사용하여 디렉토리를 찾는 경우 명령어는 'gobuster dir -u [URL] -w [Wordlist]'와 같이 작성할 수 있습니다. 이렇게 하면 Gobuster는 지정된 워드리스트를 사용하여 대상 웹 서버의 디렉토리를 무차별 대입 공격으로 찾아냅니다.

정답

dir


What single character can be used to comment out the rest of a line in MySQL?

번역: MySQL에서 한 줄의 나머지 부분을 주석 처리하기 위해 사용할 수 있는 단일 문자는 무엇인가요?

상세 풀이

MySQL에서 한 줄의 나머지 부분을 주석 처리하기 위해 사용할 수 있는 단일 문자는 '#'입니다. 이 문자를 사용하면 해당 문자 뒤에 오는 모든 내용이 주석으로 처리되어 MySQL에서 실행되지 않습니다. 주석은 SQL 쿼리나 스크립트에서 설명, 메모 또는 특정 부분을 비활성화하기 위해 사용됩니다. MySQL에서는 또한 '-- ' (더블 대시와 공백)을 사용하여 한 줄의 나머지 부분을 주석 처리할 수도 있습니다. 이렇게 주석을 활용하면 코드를 이해하기 쉽고 유지 관리하기 편리해집니다.

정답

#


If user input is not handled carefully, it could be interpreted as a comment. Use a comment to login as admin without knowing the password. What is the first word on the webpage returned?

번역: 사용자 입력이 주의 깊게 처리되지 않으면 주석으로 해석될 수 있습니다. 주석을 사용하여 암호를 모르고 관리자로 로그인하세요. 반환된 웹페이지의 첫 번째 단어는 무엇인가요?

상세 풀이

정답

Congratulations


Submit root flag

상세풀이

해당 부분은 위에서 그대로 따라하면 Flag 값이 나오기 때문에 별도로 정리하지 않았다.

 

'워게임 > Hack The Box' 카테고리의 다른 글

[Starting Point] TIER 1 - Crocodile  (0) 2023.06.29
[Starting Point] TIER 1 - Sequel  (0) 2023.05.27
[Starting Point] TIER 0 - Synced  (0) 2023.04.30
[Starting Point] TIER 0 - Mongod  (0) 2023.04.29
[Starting Point] TIER 0 - Preignition  (0) 2023.03.28
Contents

포스팅 주소를 복사했습니다

이 글이 도움이 되었다면 공감 부탁드립니다.