1. 구글에 WebGoat 7.1 download 검색 2. 깃들어가서 쭉 내리기 - 맨 아래 Assets 까지  맨 위 webgoat container- 7.1 exec jar 다운로드(jar는 자바로 만든 압축파일 - 자바 없으면 따로 깔아주어야 합니다.) 3. 컴퓨터에 자바가 설치되어 있다면, 위의 파일을 다운 받은 위치에서 cmd 창을 열어 cmd 창에 java -jar webgoat.jar 를 입력해주면 됩니다.  (해당 디렉터리에서 shift 를 누른채로 우클릭 한 뒤, 터미널에서 열기를 눌러주면 현재 위치에서 터미널이 열립니다.) 다음 명령어를 입력한 뒤 엔터를 누르면 뭐가 많이 뜨게 되는데, 잠시 기다렸다가 마지막 즈음에 happy haking 이 보인다면 성공입니다. (에러가 뜬다면 자바..

실습 전 개념 프록시 - intercept 를 이용한 데이터 변조1. Trap Request :웹브라우저에서 웹 서버로 전송되는 데이터 가로채기2. Trap Response : 웹서버에서 웹 브라우저로 전송되는 데이터 가로채기 프록시 켜기 1. 윈도우 키를 누른 뒤, 프록시를 검색해 프록시 설정 변경에 들어가준다.  2.  프록시 설정 열기 (사진은 win 11 버전, win 10도 똑같이 진행해주면 됨)  3. 프록시 서버 편집 - 프록시 서버 사용 켜고 IP, 포트를 사진처럼 입력 후 저장  4. 버프 스위트 실행 설치 방법 : 아래 링크 참고https://studywithsheep.tistory.com/44 burp suite downloadburp suite download 요약 : 딱히 변경해야..

1. SQL 인젝션이란?2. 실습 전 원리 이해3. SQL 인젝션을 이용해 로그인 하기 [실습] SQL 인젝션 데이터베이스 서버에서 실행되는 SQL문에 악의적인 코드를 추가하거나 삽입하여 권한이 없는 사람이 정보를 획득하거나 데이터를 삭제, 수정하는 공격기법을 말한다.   SQL 인젝션 실습 전 배경지식 그럼 어디에 SQL문을 삽입할 수 있을까? 가장 간단하게 떠올릴 수 있는 곳은 아마 로그인 창일 것이다. 기존에 구축했던 사이트 로그인 창에서 SQL 인젝션을 이용해 인증 우회를 해볼 것이다. (아무 사이트에서나 시도하면, 성공 여부와 관계없이 시도 자체가 불법적인 행위로 간주될 수 있으니 주의하길 바란다.)  인증 우회란, 정상적인 인증 경로나 절차가 아닌 우회된 경로를 통해 인증을 거치지 않고 권한을..

기본 페이지 수정 (default.asp) 현재 기본페이지에는 ㅇㅇㅇ님 로그인 되었습니다 밖에 뜨지 않는다. 이제 그 아래에 게시판을 구현해주기 위해 asp에 아래 구문을 추가해준다. 그리고 write.asp 에 가서 게시글을 작성해주면 아래와 같이 게시판이 생길 것이다. 게시판 글 수정 (bEdit.asp), (bEdit_go.asp) 게시판 글 수정을 위해서는 두 개의 파일이 필요하다 (bEdit.asp, bEdit_go.asp) bEdit.asp 는 html 을 이용해 아래와 같이 수정 화면을 구현해주고, form 태그의 method를 이용해 작성된 정보를 bEdit_go.asp로 정보를 넘겨준다. bEdit_go.asp는 bEdit.asp에서 넘어온 정보를 DB로 넘겨주는 역할을 하는데, DB에 ..

DB에 게시판 테이블 만들어주기 회원 정보가 담긴 테이블이 있는 DB에 게시판 정보를 담을 테이블을 추가로 생성해준다. 코드는 아래와 같다. create table board ( bidx int primary key identity(1,1) not null, bno int not null, --글 번호 name varchar(30) not null, -- 글쓴이 아이디 title varchar(50) not null, --글 제목 bcontent text not null, -- text는 2000자까지 작성 가능, 글 내용 pwd varchar(10) not null, --게시글 패스워드 email varchar(50) not null, wdate datetime default (getdate()), -..

회원정보 수정 (mem_edit.asp) 이제 회원 정보 수정 페이지(mem_edit.asp)를 만들어주어야 하는데, member.html 코드를 복사해준 뒤 조금만 수정해주면 되므로 간단하다. 우선 구현된 모습을 먼저 확인해보겠다. 이런 식으로, 회원 이름과 userID는 수정이 불가능하게 고정시켜두고 나머지 정보는 수정할 수 있도록 구현해야 한다. 또한, 수정된 정보는 정상적으로 DB에 반영되어야 한다. 기본 틀은 member.asp와 같으므로 복붙해주고, form 태그의 action을 mem_edit_reg.asp로 바꾸어준다. 후에 작성할 mem_edit_reg.asp 코드는 전에 작성했던 mem_regist.asp 처럼 form 태그에 입력된 데이터를 DB로 옮겨주는 역할을 한다. 그리고, 이름..