-
[HTTP] Header : X-Forwarded-For (XFF)Study/Web 2021. 2. 9. 03:29
X-Forwarded-For (XFF)는 HTTP Proxy (또는 Load Balancers, Caching Server) 등을 통해 웹 서버에 접속하는 클라이언트의 IP 주소를 식별하기 위한 사실상 표준 헤더이다. (표준화된 버전은 HTTP Forwarded Header이다.) 웹 서버(또는 WAS)와 클라이언트 사이에 Proxy Server (또는 Load Balancers, Caching Server) 등의 장비가 있는 경우, 서버 접근 로그는 Proxy Server의 IP만 갖고 있기 때문에 Proxy Server의 IP를 요청한 IP로 인식하게 된다. 이때, X-Forwarded-For 헤더를 통해 웹 프로그램이 실제 요청한 클라이언트의 IP를 파악할 수 있다. [문법] X-Forwarded-..
-
[Bugbounty Study] #OTP Bypass Account TakeoverStudy/Bugbounty Study 2021. 2. 8. 19:49
# Otp Bypass Account Takeover logicbomb-1.medium.com/otp-bypass-account-takeover-to-admin-panel-ft-header-injection-16f2982a0136 OTP Bypass Account Takeover to Admin Panel — Ft. Header Injection It looks like this year has great promises at least the starting is good. Already 3 bug bounty in the pipeline(just showing off:P) and… logicbomb-1.medium.com 타겟은 정확하게 밝히지 않았고, OTP 인증이 구현되어 있는 온라인 교육 플랫폼..
-
1. Burp Suite Intruder _ Dictionary Attack 공격Tools 2021. 2. 6. 23:12
Brup Suite의 Intruder 기능을 사용하여 관리자 페이지의 아이디와 비밀번호를 찾아보는 실습을 하였다. 관리자 페이지는 Hacker101 CTF의 PetShop Pro의 flag2를 이용하였다. 해당 문제의 관리자 페이지는 아래와 같고, Username을 admin으로 입력하면 아래와 같이 잘못된 username이라는 메세지가 출력된다. 아마 Username을 알아낸 후, Password를 따로 알아내면 될 것이다. Burp Suite의 Intruder을 활용하여 Username과 Password를 찾아보자. 우선, Username과 Password 값을 전송하는 Request 패킷을 Send to Intruder 한다. Username의 값을 찾기 위해 payload position을 아래와..
-
0. Burp Suite 설치 및 사용방법Tools 2021. 2. 6. 22:08
0. 다운로드 1. 실행 2. Burp Suite 기본 설정 3. Burp Suite 기능 # Dashboard # Target # Proxy # Intruder # Repeater # Sequencer # Decoder # Comparer # Extender 4. Reference 0. 다운로드 Burp Suite는 Fiddler와 마찬가지인 웹 프록시 툴로, 서버와 클라이언트 간의 요청 및 응답 패킷을 Intercept 하는 것이 가능하여 웹 어플리케이션 테스트와 취약점 점검에 주로 사용한다. [Burp Suite 다운로드] portswigger.net/burp Burp Suite - Application Security Testing Software Get Burp Suite. The class-l..
-
[Python] sys.stderr.write(f"ERROR: {exc}") 해결 방법Problem Solving/Language 2021. 1. 31. 00:37
pip install --upgrade pip 명령어를 실행하는 중 다음과 같은 에러가 발생하였다. [해결 방법] python3 \$ wget https://bootstrap.pypa.io/3.5/get-pip.py \$ python3 get-pip.py python2 \$ wget https://bootstrap.pypa.io/2.7/get-pip.py \$ python get-pip.py get-pip.py란? 사용자가 파이썬 환경에서 pip, setuptools, wheel을 설치할 수 있게 하는 bootstrapping script이다. (나는 우분투에 pip가 기본적으로 설치돼 있었는데, 뭔가 제대로 설치가 안되어 있던 것일까..?;;)