분류 전체보기
-
|Lord of SQL_injection| #19 XavisWargame Site/SQL injection 2019. 2. 20. 17:52
요.녀.석. 만만치 않은 녀석이다 ... 19단계 문제 xavis 이다. 필터링된 것들도 별로없고, 처음에는 간단히 뭐야.. 쉽잖아? 라고... 생각했다. 왜냐하면 pw 를 ' or id='admin' and [확인할 조건들] 로 주면 끝나는 문제라고 생각했기 때문이다. 기존의 코드와 동일한 방법으로 접근해보았다. 하지만, 그 뒤로 출력된 문자는 없었다.. 이럴 경우는 어떻게 해야할까?? 우선은 URL 창에 다음과 같이 입력해보았다. pw 의 첫번째 글자의 ord 값이 5000 을 넘는다는 것이었다. 그래서 이런 저런 방법을 동원해보다가 hex로 바꾸는 방법을 생각해냈고, 실행결과 또한 빨리나왔다. Hex 가 될 수 있는 '0123456789abcdefghijklmnopqrstuvwxyz' 를 문자열로 ..
-
MBCS, WBCS 동시지원시스템 프로그래밍 2019. 2. 20. 15:01
#4. 윈도우즈 시스템 프로그래밍 4. MBCS, WBCS 동시지원 유니코드의 장점이 있음에도 불구하고, 멀티코드를 동시지원해야하는 이유는 사용자들의 호환성 및 유니코드를 지원하지 않는 OS 의 경우에는 동시지원을 해주는 방식을 사용해야한다. 이를 위해 Windows 에서는 다양한 매크로들을 지원한다. 각각의 조직에 맞도록 typedef 를 수정하여 사용하는 경우가 있다. 기업이나 조직에 들어갔을 때 그에 맞는 자료형을 파악하는 것도 중요하다 !! 그렇다면 어떠한 방식으로 동시지원을 할까? TCHAR 라는 자료형을 선언했을 때 unicode 를 지원하면 WCHAR 로 지원하지 않는다면 CHAR 로 동작하도록 한다!!! TCHAR 예시와 마찬가지로 _T(x) 또한 L ## x ( Unicode 지원 ), ..
-
CharSet, MBCS's Problem, WBCS Programming시스템 프로그래밍 2019. 2. 20. 14:31
#3. 윈도우즈 시스템 프로그래밍 3-1. CharacterSet MBCS 는 문자열의 길이에 따라가 아니라 구성하는 요소마다마다의 바이트를 파악한다. 메모리 면에서는 WBCS 보다는 효율적일 수 있지만, 안정성의 문제에 있어서 취약한 부분이 있다. WBCS 는 MBCS 와 다르게 모든 문자를 2바이트로 간주한다. 메모리 면에서 비효율적일 수 있으나, 프로그램의 효율성을 운운하기에 그 1바이트의 비중이 작다는 점, 무엇보다 안정성 면에서 우수하다는 것이 중요한 특징이다. 3-2. MBCS's Problem MBCS 는 다음과 같이 바이트를 계산하는 법과 일반적으로 사람이 생각하는 개념이 달라 혼동되는 경우가 있다. 'ABC한글' 은 바이트로 계산했을 때 그 길이값은 7이지만, 사람들은 5로 인식하기를 바..
-
업무 자동화 코딩캠프 #02 Selenium_inputData업무 자동화 제주도 코딩캠프 2019. 2. 20. 12:41
#1. Selenium 확장 Selenium 을 실행 했을 때 브라우저를 통한 DOM 정보를 가져오는 것을 알 수 있었다. 브라우저를 활용하기에 좋은 점은 로그인이나 인증과정 또한 코딩으로 가능하다는 점이다. 그리하여, 특정사이트에 로그인을 하거나 특정 아이콘을 클릭하는 등의 작업도 가능하다. driver.find_element_by_class_name( ) driver.find_elements_by_css_selector( ) driver.find_element_by_tag_name( ) driver.find_element_by_name( ) driver.find_element_by_xpath( ) driver.find_element_by_id( ) 다음의 메소드들을 통해 요소에 접근한 뒤, .send..
-
업무 자동화 코딩캠프 #02 Selenium업무 자동화 제주도 코딩캠프 2019. 2. 19. 21:14
#1. Selenium 개요 Javascript 를 이용하면 웹 사이트에 HTML 문법을 적용시켜 넣어줄 수 있는데, 태그를 사용하여 작성된다. 이런 동적인 웹 사이트는 보통의 크롤러들이 접근하기 힘들다. 로그인이 포함되는 경우, 그리고 동적인 웹 페이지의 경우에 Selenium 을 주로 사용한다. 웹 브라우저는 JavaScript 코드를 실행 시킨 후 HTML 을 DOM 으로 나타낸다.DOM 이란 HTML 을 시각적으로 쉽게 표현하기 위해 만든 객체를 일컫는다. 즉 문서를 구조화 시킨 것이다. 다시 말해서 웹 브라우저는 HTML 코드를 그대로 가져온 후 JavaScript 를 실행시킨 결과를 보여준다. 크롤러는 HTML 코드 자체를 긁어오기 때문에 편의상 개발자 도구로 분석하지만, ..
-
#1 운영체제 명령 실행 취약점web 취약점 2019. 2. 19. 16:52
웹 취약점 분석을 위해 DVWA 를 사용하기로 했다.설치 동영상 출처 : https://www.youtube.com/watch?v=04XSU77pxaA 위 동영상을 토대로 설치에 성공했다. 진짜 설치가 반이라고 힘이 빠지긴 하지만 !!( gooling 을 얼마나 했는지 ㅎㅎ ) 본격적으로 첫 번째 취약점 분석 포스팅을 시작해보자~ 서버의 보안 단계를 조정하면서 테스트 할 수 있는 점이 신기했다. 운영체제 명령 실행 취약점 Command Injection , DOS Injection 이라고도 불린다.사용자의 입력으로 시스템 명령어를 실행 시킬 수 있는 경우를 말한다. 로그인 란과 같은 입력 칸 혹은 URL 에서의 입력으로 부터 발생할 수 있는 위협이다. 운영체제에 맞는 시스템 명령어를 통해 시스템 보안에 ..
-
업무 자동화 코딩캠프 #02 Crawling업무 자동화 제주도 코딩캠프 2019. 2. 18. 20:59
캠프 두번째 날은 Crawling 에 대해 배웠다. 크게 두 가지의 라이브러리를 사용했다. #1. requests library 그 중 하나가 requests 였다. 우선, 라이브러리를 설치하고 !! requests - python 에서 HTTP 요청을 보내는 라이브러리Lord SQL Injection 에서 Blind Injection 을 시도했을 때와 같은 라이브러리이다. 캠프에서 받았던 자료를 통해 작성한 코드이다.paullab.co.kr 에 Get 방식으로 접근하여 그 내용을 test.html 에 저장하는 코드이다.utf-8 을 해주어야만 한글이 제대로 출력된다.예제에서는 utf-8 을 적용해주지 않았습니다. .text 외에도 header 내용을 볼 수 있는 response.headers, HTTP..
-
업무 자동화 코딩캠프 #01 Access CSV Data업무 자동화 제주도 코딩캠프 2019. 2. 16. 09:48
#1 os 와 glob 우선 sample 파일들을 준비한다. os.listdir('[path]') 파일리스트를 볼 수 있는 명령어 glob('[ file to find ]') 원하는 파일을 찾을 때 사용하는 명령어 이 두 가지 명령어는 각각 리스트로 저장이 되며, 잘만 다룬다면 유용하게 쓰일 것 같다. #2 How to Access csv file 실습시간에는 csv 파일에 접근했다. 즉, csv 파일은 데이터가 일반 텍스트로 저장되어 있기때문에 가공하기 편하다 (Excel 또한 csv 로 변환할 수 있다.) 출처 : http://www.hanbit.co.kr/media/channel/view.html?cms_code=CMS5222957204 Pandas 의 read_csv 를 통해 데이터에 접근할 수 ..