보안맨

CTFlearn의 열번째 문제 이번엔 웹해킹 문제이다. 처음으로 나온 Medium 난이도의 문제인데 그렇게 어려운 문제는 아니다. 문제 설명을 읽어보면 웹사이트는 POST를 사용해 인증을 하는데, 어떤 사람이 사이트를 디페이스(변조) 했다고 한다. 그 상태에서 인증을 할 수 있겠냐고 물어본다. 주어진 문제페이지 주소로 접근하면 이렇게 하얀 바탕에 글씨만 나온다. POST data가 제출되지 않았다는 문구이다. 문제에서 계속 언급되는 POST는 웹 서버에 클라이언트가 요청 패킷을 보낼때, 데이터를 함께 전송하기 위한 메서드이다. 네이버에 접속을 한다고 가정하면, 단순히 네이버 메인 페이지에 접속하는것은 GET 메서드를 이용해서 서버에 요청을 하고, 로그인을 하거나 댓글을 쓰는등 클라이언트의 데이터를 서버에..

Burp Suite(버프 스위트) 최신버전 다운로드 및 설치방법을 알아보자. 버프 스위트는 PortSwigger에서 개발한 웹 프록시 도구이다. 웹해킹 문제를 풀때 주로 사용하는 도구이다. 웹은 클라이언트의 요청과 서버의 응답으로 동작한다. 우리가 구글에 접속할 때, 내가(브라우저가) 서버에 요청을 보내게 되고, 구글 서버가 내 요청을 처리해서 응답을 보내면 접속할 수 있게 되는 것이다. 웹해킹을 할때는 이 요청/응답 패킷에 다양한 변수들을 조작하는것이 필수적인데 크롬, 파이어폭스 같은 웹 브라우저 만으로는 한계가 있다. 그럴때 사용하는게 버프 스위트 같은 웹 프록시 도구이다. 버프 스위트는 이렇게 클라이언트와 서버 사이에 위치해서 중간에서 오고가는 요청/응답 패킷을 가로채 대신 전달하는 역할을 한다. ..