정보보안 및 해킹/Normaltic's 취업반 과제(22)
-
[Normaltic's 취업반 과제] 게시글 검색
get_catagory_list.php검색 창과 버튼을 추가하고 검색 버튼을 클릭하면 search_board.php의 search_contents 함수를 불러와서 컨텐츠를 다시 불러오도록 하였다.[생략]require_once ('search_board.php');[생략] Search : [생략] if (isset($_POST['searchcontent'])) { search_contents($category, $_POST['search']); exit();}[생략]search_board.php카테고리와 검색어를 받아서 where구문으로 카테고리를 넣고, 검색어는 title을 중심으로 해서 like구문으로 앞 뒤로 %를 넣어서 검색어가 어디..
2024.06.09 -
[Normaltic's 취업반 과제] 게시글 파일 이름 띄우기
해당 기능은 불과 몇 년 전까지는 보안 이슈로 불가능했던 기능인 것 같다.그럼에도 불구하고 몇 몇 개발자들은 꼼수를 부려 외부 플러그인으로 이용했던 모양인데...심지어 어떤 사람은 해당 질문을 한 초보 개발자에게 그게 질문이냐고 비난하는 댓글까지 있었다.. write_board.php게시글을 맨 처음 등록하는 부분입니다.해당 영역에서는 이미지만 넣기를 원했기 때문에 넣는 파일은 이미지로 제한해 주는것을 추가해줍니다.보안을 위해 fakepath를 추가해줍니다.[생략][생략]edit_contents.php게시글을 수정하는 부분입니다.등록하는것과 마찬가지로 이미지만 받도록 하고, 보안을 위해 fakepath를 추가합니다.js로 file을 input하는 부분에서const fileInput = document.q..
2024.05.15 -
[Normaltic's 취업반 과제] 게시글 삭제하기
open_contents.php일단.. title과 writed_date를 쿼리문으로 보내서 그 두가지를 기준으로 게시물을 삭제할 예정이라서 그 두 가지를 delete_contents.php로 보낼 준비를 한다.일단 이 것 두개도 다른 곳에서 GET방식으로 받아오는 것이기 때문에 받아오고$title = $_GET['title'];$writed_date = $_GET['writed_date'];삭제하기 버튼을 누르게 되면삭제하기해당 함수를 부르게 된다. confirmation()그러면 js가 실행되게 되는데, 정말 삭제하시겠습니까라는 confirm창이 뜬다.var answer = confirm("정말 삭제하시겠습니까?")그 창에서 확인을 누르면 삭제완료 쪽으로if (answer) { alert("..
2024.05.15 -
[Normaltic's 취업반 과제] js Keylogger
keylogger.php사용자로부터 키 입력을 받아 txt파일에 적어둔다.login.php키 입력을 받아서 login버튼을 눌렀을 때 해당 입력을 공격자에게 보낼 수 있도록 하였다.[생략][생략] ref. https://www.hahwul.com/2016/06/16/web-hacking-making-xss-keyloggerxss/ [WEB HACKING] Making XSS Keylogger(XSS Keylogger 만들기)오늘은 공격을 통한 영향력 측면에서 바로 사용자의 키 입력을 가로채는 Keylogger를 간단하게 만들어볼까합니다. 물론 악용하시면 안됩니다. 연구적인 측면에서 해보시길 바랍니다.www.hahwul.com
2024.05.14 -
[Normaltic's 취업반 과제] js Cookie Hijacking
우선 서버가 현재 하나밖에 없기 때문에 공격자 서버를 따로 두지 않고 자기 자신으로부터 탈취하여 자기자신에게 정보를 가져오게끔 하였다. index.php임시의 이미지(사용자에게는 보이지 않는)를 하나 생성하여 그 이미지를 통해 공격자의 php코드로 cookie를 전송한다.해당 코드는 로그인 이후 jwt가 생성된 후 실행된다.[생략] [생략]cookiestealer.php공격자의 코드.c라는 쿠키를 담을 변수를 받아 log.txt라는 파일에 적는다.지금은 서버가 하나 뿐이라서 자기 자신에게 돌렸지만 공격자의 서버에게 돌리게 되면 저 파일은 공격자의 서버로 들어가게 된다. ref. https://null-byte.wonderhowto.com/how-to/write-xss-c..
2024.05.14 -
[Normaltic's 취업반 과제] 게시글 수정하기
앞서 모든 게시글의 구조를 뜯어고쳤다.. 이전 모습은 전혀 없으니 참고 우선 테스트 게시글을 등록테스트 게시글을 잘 받아오는 것을 볼 수 있다.수정하기 탭을 클릭하나도 빠짐 없이 변경해보고일단 변경된 타이틀로 잘 나오는 것을 확인내용과 사진도 변경 확인 완료사진은 제가 다니는 액션스쿨 로고를.. index.php서두에 적어놓은것과 같이 게시판의 구조를 완전히 뜯어 고쳤다.그래서, 고친 부분은 이 부분이다.index.php 위에 get_category_list.php를 덮는 형식으로 했었다.그러니까 종이 두 장을 겹쳐놓는데 index.php에서 출력된 화면이 아래에 깔리고 그 위에 get_category_list.php에서 출력된 화면이 그 위에 깔린다.그렇게 두개를 겹쳐 놓았던 것을 분리하여 게시판으로써..
2024.05.12