no query 의 조건을 or 로 무력화시키면 guest 의 레코드를 얻을 수 있다. 하지만, 문제의 조건은 guest의 계정이 아닌 admin 계정을 얻어야 한다. 그래서 이전 문제와 같이 no=10 or id='admin' 을 입력하였지만, preg_match 에서 싱글쿼드, 더블쿼트가 모두 필터링 되어 결국엔 'No Quotes ~_~' 메시지만 얻게 된다. 이걸 해결하기 위해 문자열을 string 에서 hex 코드로 변경하여 입력하면 해결 된다.
2번째 문제 Cobolt DB에서 id 가 admin 인 레코드를 얻어와야 한다. query 의 조건을 id 만 만족하게 하도록 함.
Sql Injection 의 첫번째 문제. 입력되는 Get 의 id query의 조건을 모두 만족하게 하고 나머지는 모두 comment 되도록 함.
1. CSP 란? CSP 는 외부의 스크립트 공격인 (XSS)로부터 보호하기 위한 정책이다. CSP를 설정하면 지정된 origin이 아닌 다른 경로를 통해서 들어오는 입력을 방지할 수 있다. 각 source에 대해 지정하는 parameter가 쉽게 정리되어 있는 블로그를 참조하자. CSP란 (velog.io) CSP란 먼저 CSP란 (Content Security Policy)의 약자로, 웹 브라우저에서 각종 XSS공격을 막기위해 만들어진 정책으로, 아무나 인라인 자바스크립트나 CSS를 입력할 수 없도록한다. unsafe-inline은 그냥 다 허용하 velog.io 2. NodeJs server-side CSP 설정하기 node js의 helmet을 사용하게 되면 CSP를 지정하게 되는데, 그냥 use..
1. 프로젝트 시작 NodeJS의 root 경로를 지정하고 필요한 모듈을 설치한다. # npm 설정 npm init # module 설치 (express, helmet, ejs) npm install express helmet ejs 2. 폴더 구조 기본 폴더 구조는 아래와 같다. app.js 파일 const express = require('express') const helmet = require('helmet') const ejs = require('ejs') const app = express(); app.set('view engine','ejs') // view을 보여주는 engine을 명시함 app.set('views', './views') // view 의 위치를 알려줌 app.use('/p..
