정보보안41 [PortSwigger] CSRF where token validation depends on token being present https://portswigger.net/web-security/csrf/lab-token-validation-depends-on-token-being-present Lab: CSRF where token validation depends on token being present | Web Security Academy This lab's email change functionality is vulnerable to CSRF. To solve the lab, use your exploit server to host an HTML page that uses a CSRF attack to ... portswigger.net 이전 문제와의 차이점은 GET으로 바꿔 요청 보내면 404가 뜬다는 점 Some a.. 2021. 10. 16. [PostSwigger] CSRF where token validation depends on request method https://portswigger.net/web-security/csrf/lab-token-validation-depends-on-request-method Lab: CSRF where token validation depends on request method | Web Security Academy This lab's email change functionality is vulnerable to CSRF. It attempts to block CSRF attacks, but only applies defenses to certain types of requests. To ... portswigger.net 이전 문제와 같은 루틴이다. 하지만 버프 스위트로 잡아보면 좀 다른 것을 확인할 수 있다. S.. 2021. 10. 16. [PortSwigger] CSRF vulnerability with no defenses https://portswigger.net/web-security/csrf/lab-no-defenses Lab: CSRF vulnerability with no defenses | Web Security Academy This lab's email change functionality is vulnerable to CSRF. To solve the lab, craft some HTML that uses a CSRF attack to change the viewer's email address ... portswigger.net 풀이 영상을 보면 버프슈트 프로를 써서 했지만 난 내가 해봤다.... 내가 직접하면 익스되는 것은 확인할 수 있지만 오른쪽 상단의 solved는 바뀌지 않는다,,,, solved는.. 2021. 10. 16. HTTP 메서드 OPTIONS, HEAD HTTP method OPTIONS - 해당 메소드를 통해 시스템에서 지원되는 메소드 종류를 확인할 수 있다. - flask에서는 get 메서드만 허용해놓아도 head와 options 메서드에 대한 요청도 함께 허용하는 것 같다. HTTP method HEAD - HEAD 요청 방식은 GET과 유사한 방식이나 웹 서버에서 헤더 정보 이외에는 어떤 데이터도 보내지 않는다. - 웹 서버의 다운 여부 점검(Health Check)이나 웹 서버 정보(버전 등)등을 얻기 위해 사용될 수 있다. https://ychae-leah.tistory.com/83 [web] HTTP 메소드 GET, POST, OPTIONS HTTP 응답-요청 메시지 구조 HTTP 메소드란? HTTP 통신 요청(request)이 이루어 질 .. 2021. 10. 7. python pickle 취약점 pickle이란? 일반 텍스트를 파일로 저장할 때는 파일 입출력을 이용한다. 하지만 리스트나 클래스같은 string이 아닌 자료형은 일반적인 파일 입출력 방법으로는 데이터를 저장하거나 불러올 수 없다. 파이썬에서 이같이 string(텍스트)이외의 자료형을 파일로 저장하기 위해 pickle 모듈을 제공했다. - import pickle - pickle을 이용하면 원하는 데이터를 자료형 변환없이 파일로 저장했다가 그대로 로드할 수 있다. - pickle로 데이터를 저장하거나 불러올 때는 파일을 byte 형식으로 읽거나 써야한다.(wb, rb) - wb로 데이터를 입력할 때는 .bin 확장자를 사용하는게 좋다. - 모든 파이썬 데이터 객체를 저장하고 읽을 수 있다. - json dump, load와 유사하게 .. 2021. 10. 5. CVE-2014-6271 (shellshock) https://operatingsystems.tistory.com/entry/Shellshock-CVE20146271 [Vul] Shellshock (CVE-2014-6271) 우선, 간략하게 CVE-2014-6271 일명 Bash shellshock 취약점에 대하여 설명하고자 한다. 이 취약점은 Akamai Technology의 Stephane Chazelas에 의해 발견되었다. CVE-2014-6271는 대부분의 Linux/Unix System에서.. operatingsystems.tistory.com - linux/unix system에서 사용되는 shell인 bash shell에 존재하는 취약점 - 취약한 버전 GNU Bash 4.3을 포함하여 이전 모두 bash-3.0-27.el4.2 bash-.. 2021. 9. 5. 이전 1 ··· 3 4 5 6 7 다음
