태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A3 - XSS - Stored (User-Agent) 난이도 하 xss_stored_4.php 페이지는 접속한 정보를 테이블 형태로 출력하고 있습니다. 테이블에는 시간, IP, User-Agent의 정보를 확인할 수 있고, download 글씨를 클릭하면 새로운 페이지에서 접속한 사용자의 정보를 표시하고 있는 것을 확인할 수 있습니다. User-Agent 헤더에 값을 변경후 값을 확인하기 위하여 프록시 툴을 사용하여 확인해 보도록 하겠습니다. 프록시 툴을 사용하는 방법은 앞에서도 계속 설명을 하였기 때문에 따로 설..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Command Execution은 '원격 명령 실행 취약점'을 말합니다. 이 공격을 사용하면 공격자는 자신이 실행하고자 하는 명령어를 서버에 원격으로 실행하여 악의적인 행위들을 할 수 있습니다. XVWA 웹 취약점 진단 항목의 하나인 OS Command Injection 화면 입니다. 소스코드를 보시면 해당경로의 home.php 파일을 참조하는걸 알수 있습니다. home.php 파일의 소스코드를 보시면 입력받은 값을 target 변수에 저장하고 shell_exec 함수를 이용하여 명령어를 실행하고 있습니다. 해당 ..