보호되어 있는 글입니다.
AWS Config는 AWS 리소스 구성을 측정, 감사 및 평가할 수 있는 서비스입니다. 리소스 구성을 지속적으로 모니터링하고 사전에 정의된 평가 팩을 기준으로 리소스를 평가할 수 있으며, 규정 준수 감사, 보안 분석, 변경 관리 및 운영 문제 해결 작업을 간소화할 수 있습니다. AWS 상의 보안 위협은 사용자로 인한 보안 사고가 대부분을 차지합니다. 대규모의 리소스를 관리할 경우 설정 및 구성상 오류가 있더라도 수개월이 지나 인지될 가능성도 있습니다. 이러한 문제점을 해결하기 위해 Config 서비스를 통해 리소스의 구성 변동 사항이나 위반 사항에 대해 인지할 수 있도록 구성할 수 있습니다. AWS Config 주요 기능 AWS 리소스의 구성 기록 AWS Config는 AWS 리소스의 변경 사항에 대한..
- 필터링 우회 문제 - Start - get source - guest 계정과 blueeh4g 계정이 있는 것을 확인. - get source-1 코드에서 sql 쿼리 이후 key를 얻기 위한 과정을 보면 1) DB의 쿼리 결과 id가 존재해야 함 2) 입력한 id가 guest 와 blueh4g 문자열이 아니어야 함 - DB 쿼리 결과의 id를 확인하는 것이 아니고 내가 입력한 id를 확인하므로, - guest와 blueh4g 문자열을 입력하지 않고 DB에서 조회 결과가 나오게 하면 된다. - 간단하게 대문자로 입력 - id:GUEST
며칠 전 드림핵 CTF에 참가하였는데, 문제풀이가 비슷할 것 같다. 어서 풀어 보도록 하자! 1. 문제 문제를 보니 SQL 인젝션이나 무작위 대입 공격을 시도를 해보고 싶어 진다. 2. 문제풀이 바로 로그인을 통해 문제를 해결해야 하는 것 같다. 어떤 값이 들어갈지 몰라 페이지 소스를 보았다. 소스를 보니 힌트에 ID와 패스워드는 0~9999 사이 값이란 것을 추측해볼 수 있었다. ID 값에 admin을 입력한 후 SQL Injection을 시도해보았지만 아무런 변화가 일어나지 않았다. 방법은 무작위 대입 공격이 방법이 될 수 있을 것이라는 생각을 하여 Burp의 Intruder 기능을 사용하여 공격을 시도해보았다. 옵션 값에 최소 1자리부터 4자리까지 들어가도록 설정 후 0123456789 값이 들어가..
Basic의 마지막 문제인다 ? 문제 설명이 너무 간단하다... 하드코딩되어 있는지 확인을 해봤으나, 그런건 없어보임 문제에 대한 힌트를 확인해보니 자바스크립트를 이용하라고 함 개발자도구로 모든 js파일을 다 뒤져보았지만 딱히 답이 될만한건 찾지 못함 저번 8,9번 문제와 같이 문제를 비교해서 다른점이 뭐가 있을까 찾아본 결과, 다음과 같이 쿠키 값 존재 유무를 발견함 쿠키 값 수정을 통해 문제 해결함 결국 자바스크립트 쿠키를 언급하는 거였음...
이 글이 도움이 되었다면, 응원의 댓글 부탁드립니다.
TOP
