👾

라는 스크립트를 인젝션 하라고 한다. 그냥 써서 제출해보면 no hack이라는 문장이 추가되며 ( ) ; /이 퍼센트 인코딩 된 것을 확인할 수 있다. 또한, url을 사용해 파라미터를 전달하는 get 방식을 사용하는 것을 알 수 있다. url(퍼센트) 인코딩이란? 더보기 url에서 문자를 표현하는 인코딩 방식. 알파벳, 숫자, 몇 개의 특수문자를 제외한 값은 %OO (16진수) 형태로 나타내진다. sc를 입력했더니 또 다시 no hack이라는 문자열이 등장한다. 특정한 문자를 연속으로 입력하는 것 또한 필터링 하는 듯 하다. url로 직접 s와 c 사이에 NULL 값을 채워넣어 전달했더니 sc가 필터링 없이 그대로 출력된다. (입력 폼으로 전달하지 말고 url로 NULL을 추가한 스크립트를 직접 보내야..

이번에는 webhacking.kr 의 old-01 문제를 풀어보도록 하겠습니다. 사이트에 로그인을 하고, 문제에 들어가면 아래와 같이 간단한 창이 나옵니다. view-source 를 눌러 웹 사이트의 소스코드를 보도록 하겠습니다. user_lv 라는 쿠키 값이 있는데, 이 값이 5보다 크고 6보다 작아야 풀 수 있다고 합니다. F12 키를 눌러 개발자 도구를 연 뒤 쿠키 값을 확인하고 수정하도록 하겠습니다. 아마 쿠키 값이 1로 설정되어 있을 것입니다. 이를 더블클릭 해서 5보다는 크고, 6보다는 작은 수로 바꿔줍시다. 이런 식으로요. 수정한 뒤 엔터 키를 누르고 view-source 라는 글씨가 보였던 첫 화면으로 가줍시다. 그러면 성공 메세지가 뜹니다. 다음 문제 풀이로 찾아뵙겠습니다!