반응형 전체 글87 Php로 웹 개발하기 : 게시판(3) - Option Search 지금의 게시판은 사용자의 ID만으로 검색이 가능한데, 사용자의 ID, 글 제목, 글 내용, 날짜로도 검색이 가능하게 만들어보았다. 우선 form 안에 select & option으로 선택지 4개를 만들어준다. 이름 제목 내용 날짜 알아서 선택할 수 있는 기능을 잘 만들어주었다. select를 form안에 넣었기 때문에 검색 버튼을 누르면 POST에 의해 option 값이 같이 넘어가게 된다. 이는 select에 부여한 name 값으로 확인이 가능하다. echo $_POST['option_val']; 전에 만들어둔 board 함수 안에서 값을 출력해보면 선택한 항목의 value값을 잘 가져온 것을 확인할 수 있다. $find = $_POST['board_result']; $column = $_POST['o.. 2021. 11. 10. Php로 웹 개발하기 : 게시판(2) - Search 게시판 만들기(1)에서는 test DB를 생성하고 데이터를 불러오는 것까지 마무리했다. 이번에는 초기 화면에서 모든 데이터를 확인하고, 검색에 따라 내용을 바꾸는 것까지 마무리 지은 후, 대충 만들어두었던 CSS를 다듬어 보았다. ① 검색 기능 우선 코드는 기존의 게시판 만들기(1)을 토대로 진행하되, form안의 input 들의 name을 다음과 같이 수정하였다. table 코드도 그대로 사용하였지만 tbody 부분을 다음과 같이 수정하였다. 코드를 설명하자면, array_key_exitst로 'board_search'라는 이름을 가진 input값이 POST를 통해 넘어왔는지 확인을 해준다. 즉, search 버튼이 눌렸는지 체크해주는 것이다. 버튼이 눌리지 않았다면 초기 상태이므로 else에서 DB에.. 2021. 11. 9. 해킹 맛보기 : 개요 요즘 모의 해킹 스터디를 진행하면서 웹 해킹의 주요 내용들을 학습하고 정리하고 있는데, 웹 개발과 같이 진행하니 이해하기가 훨씬 수월한 것 같다. 비록 아직 SQL Injection 밖에 공부하지 않았지만, 마침 학교에서 버그 바운티 대회를 열길래 경험 삼아 참가해보았고, 덕분에 어설프게나마 모의 해킹을 경험해볼 수 있었다. 그런데, SQL Injection밖에 할 줄 모르는데 그 공격이 먹히지를 않으니 취약점을 찾을 수가 없었고, 조금 허무한 마음도 들었다. 그래서 서적을 하나라도 제대로, 처음부터 끝까지 읽어보는 것이 좋을 것 같다는 생각이 들었다. 지금 스터디에서는 웹 해킹의 주요 공격 기법만을 공부하기 때문에, 전반적으로 두루두루 알고 싶기도 했다! 그래서 서적을 구매하였고 차근차근 공부하고 정리.. 2021. 11. 8. Bandit : Level 26 ~ Level 30 [Level 26] Shell Bandit26에 로그인하는 것은 쉽겠지만 bandit26 user가 사용하는 것은 /bin/bash가 아니다? 우선 ls로 무엇이 있는지 확인해 보자. sshkey가 있는 것을 보아 Level 17에서 sshkey를 사용해 접속했던 것처럼 로그인하면 될 것 같다. 그런데 Shell이 bash가 아니라고 한다. Shell은 사용자와 Kernel 사이의 소통을 위한 하나의 프로그램이다. 가장 대표적인 것이 bash인 것이지, 하나만 있는 것은 아니다. 현재 사용 중인 Shell은 /etc/passwd에서 확인할 수 있다. 많은 정보 중 bandit 26에 관련된 정보만을 보려면 grep을 이용하면 된다. $ grep bandit26 /etc/passwd Bandit25는 .. 2021. 11. 7. Burp Suite 설치 및 사용법(Ubuntu) Burp Suite은 웹 프록시 프로그램인데, 웹 프록시에 대한 설명은 [모의해킹_이론] - 웹 서버 구조와 동작 포스팅을 참고하면 된다. 설치 환경은 Ubuntu 18.04 LTS이며, 이번 포스팅에서는 우분투에 Burp Sutie을 설치하고 사용하는 방법에 대해 알아볼 것이다. ① 설치 Burp Suite은 Java Application 이기 때문에 자바 JDK를 먼저 설치해주었다. sudo apt-get install openjdk-8-jre 설치가 완료되었다면 다음 링크로 들어가서 바로 다운로드 하면 된다. https://portswigger.net/burp/releases/professional-community-2021-9-1?requestededition=community 다운로드한 파일이 .. 2021. 11. 6. SQL Injection : Blind SQL Injection 앞선 포스팅에서는 Union SQLi와 Error Based SQLi에 대해 알아보았다. 일반적으로 SQL Query문의 결과가 화면에 표시된다면(게시판) Union SQL Injection을 사용할 수 있지만, 그 이외의 경우에는 대부분 Blind SQL Injection을 사용할 수밖에 없다. 이번 포스팅에서는 Blind SQL Injection의 개념과 활용 방법에 대해 알아보자. ① Blind SQL Injection이란? Blind SQL Injection은 서버가 쿼리에 대한 결과가 참인지 거짓인지에 따라 다른 응답을 주는 점을 이용하여 정보를 얻어내는 공격이다. ② Blind SQL Injection의 공격 Step Blind SQLi도 Step 별로 공격의 흐름을 알아볼 것인데, 어떤 쿼리.. 2021. 11. 5. 이전 1 ··· 8 9 10 11 12 13 14 15 다음
