보안

WEB Level 5 level5 에서는 자바 스크립트 난독화 기법에 대해서 설명합니다. 클라이언트 사이드에서 실행되고 해석되는 언어인 자바 스크립트는 보안적으로 취약할 수 밖에 없기 때문에 나쁜 의도를 가진 사용자들이 노출되어 있는 스크립트를 해석하여 적절하지 않은 행동을 하는데 이용하기도 하고, 자신이 공들여 만든 소스코드를 어떤 이가 쉽게 도용하여 마치 자신이 만든 것인 양 사용할 수 있는 등의 여러 가지 문제점이 존재하는, 편리하지만 동시에 굉장히 취약한 형태의 구조를 가진 언어입니다. 이런 고민을 해결하기 위하여 생겨난 개념이 “자바스크립트 난독화” 입니다. 개발자들은 원하지 않는 정보를 클라이언트 상에서 숨기려, 스크립트를 보아도 해석하기 어렵도록 이 기술을 적용하여 해석상에는 문제가 없지만,..

WEB Level 4level4에서는 두 가지 조건을 만족해야 클리어할 수 있습니다. 페이지의 소스를 보면, 그 두 가지 조건에 대한 힌트가 나와 있습니다.“”1. 50 point를 만들어라.2. 'SuNiNaTaS' 페이지의 하단에는 User-Agent 정보를 보여주고 있고, 동작 방식을 살펴보니 가운데에 위치한 Plus 버튼을 한번 누르면, 포인트의 값이 1씩 상승하는 구조인듯 하였습니다.혹시나 하여, 프록시 툴을 활용하여 Point 값을 50으로 설정하여 서버에 넘겨보았지만, 돌아온 응답에서는 숫자가 정상적으로 카운팅 되어 올라가는 것을 보아, Plus버튼에 반응하여 숫자를 카운팅하는 독자적인 함수가 서버에 존재하는 것을 유추할 수 있었습니다. 직접 눌러서 Point를 50을 만들어 보려 하였으나,..

WEB Level 3level3 페이지에 들어가면, “Write articles in Noteice Board!” 라는 문구만 나오고, 뒤로 가기, 메인 페이지로 가기 버튼 이외의 다른 동작을 할 수 있는 장치는 없습니다. 페이지를 소스 코드를 보아도 결과는 마찬가지입니다. 문제 페이지에서 말하는대로 Suninatas 메인페이지의 Notice게시판에 글을 써보기로 하였습니다.글을 작성하기 위해서, 매인 페이지에서 Notice 보드로 이동하여 글쓰기를 시도해 보려 하지만, Notice 보드에는 글쓰기 버튼이 없습니다. 여러 가지 게시판들을 들어가 봅니다. Q&A 라는 게시판을 보면, Notice 페이지와 형태가 매우 유사하고, 왼쪽 상단의 글자만 다릅니다. 만약 내가 사이트 개발자였다면, 각각의 페이지들을..

WEB Level 2 로그인창 달랑 하나 있고 아무것도 없습니다.SQL Injection에 관한 문제인가 싶어 여러가지 값들을 입력해 보았지만 아무런 반응이 없고,아무값도 입력하지 않았을 때에는 위와 같은 메시지가 뜹니다. 혹시나 싶어 페이지 소스를 보았더니, 정말 '헉' 이었습니다. 로그인 폼의 동작을 결정하는 함수의 일부분이 JavaScript로 작성되어 있었을 뿐만 아니라, 로그인 성공의 결정적인 조건이 주석으로 힌트처리가 되어 있었습니다.또한, 아무 값도 입력하지 않았을 때에 나타났던 메시지의 정체도 밝힐 수 있었습니다. 자바스크립트는 'Client Side' 동작을 수행하는 언어로서 보안적인 부분에 있어서 매우 취약하기 때문에, 웹을 구성할때 보안이 필요한 부분에는 잘 사용하지 않는 언어입니다...

문제들이 상당히 흥미롭게 구성된 워게임 사이트가 하나 있어서 문제를 풀고 리뷰해 보려고 합니다.사이트 이름은 Suninatas이며, 2012년 4월 부터 서비스를 시작하여, 지금까지 쭉 관리되어 온 것으로 보입니다.문제는 총 32개로 이루어져 있으며 그 중, 10문제가 웹 관련된 문제입니다. Suninatas는 분류상으로 WEB, BINARY, FORENSIC, SYSTEM등의 4가지 주제로 문제들이 구성되어 있으며, 각 문제들이 기초에 충실하면서도 참신한 방법으로 구성되어 있으며, 난이도가 대체적으로 높지 않은 편이어서 초보자에게 추천하는 워게임이라고 할 수 있겠습니다. Suninatas에서는 각 level을 클리어 하면, ‘AUTH KEY’ 라는 것을 제공합니다. 획득한 AUTH KEY는 해당 페이지..