비트(bit)주세요

바구니 보기 : 다른 사용자의 장바구니를 봅니다. 일단 내 장바구니에 몇가지 담아보겠다. 담아보고 프록시로 확인했더니, 다음과 같은 경로가 나왔다. REST-API를 생각했을 때, 나의 계정 고유 ID는 6번인 것 같다. 다른 계정으로 접속하여 장바구니에 물건을 담고 프록시로 확인해봤더니, test1@test.com의 ID는 9번이다. 본 계정으로 돌아와서, 다시 프록시로 보고 Repeater에 보낸다. 요청에 대한 응답값을 볼 수 있어서, REST-API로 자원을 요청할 때 사용한 적 있다. test1의 ID인 9번으로 바꾸어서 응답값을 본다. test1 계정의 장바구니 목록이 응갑값으로 보여졌다. 그리고 풀렸다.

별점 5개 피드백: 별 5개짜리 고객 피드백을 모두 제거하세요. - 관리 섹션 문제를 해결했다면, 이번 문제는 매우 쉽습니다. 일단 관리자 페이지에 접근해야겠다. 이거 지우면 되나보다. 지우자 풀렸다. 원래 지울 때 한번 더 인증해야 하나보다.

더 이상 사용되지 않는 인터페이스 : 제대로 종료되지 않은 더 이상 사용되지 않는 B2B 인터페이스를 사용합니다. - 이전 B2B 인터페이스는 최근에 최신버전으로 교체되었다. - 코드에서 완전히 사라지진 않았다. * B2B interface : 백엔드 시스템의 데이터를 통합하여 거래 파트너 간의 정보 교환을 가능하게 합니다. B2B 게이트웨이는 또한 XML, cXML 및 EDI 와 같은 상호 운용성 표준을 통해 여러 데이터 소스의 변환을 위한 중앙 집중식 지점을 제공합니다. 느낌상 파일 업로드 쪽에 취약점이 존재할 것 같다. 코드에서 완전히 사라지지 않았다고 하니, 개발자도구에서 찾아 보아야겠다. upload 키워드로 검색하였더니, 다음과 같은 결과가 나왔다. xml 파일을 업로드 할 수 있나보다. xm..

1. 과제 2. 내용 GitHub에서 제공하는 CI/CD(지속적 통합/지속적 배포) 툴 프로그램을 개발하면 원활하고 안전한 사용을 위해, 코드에 문제가 없는지 지속적으로 검사를 해주어야 한다. 하지만, 여러명의 프로그래머가 코드를 작성하고, 프로젝트 규모가 커지면 번거롭고 버겁다. 그래서 이것을 자동으로 실행시킬 수 있는 툴이 등장했는데, 그 중 하나가 [GitHub Action]이다. 이 툴을 사용하기 위해 지켜져야 할 몇가지 규칙이 있는데 다음과 같다. ※ [/.github/workflows/] 디렉토리에 파일을 작성해야 한다. ※ 파일 형식은 [.yml]이다. Workflow 자동화된 전체 프로세스 Event Workflow를 실행하는 특정 활동, 규칙 Job 여러 Step으로 이루어지고, 단일 가..

이 링크에 포함된 yml 파일을 복사한다. https://github.com/kitabisa/gokart-action GitHub - kitabisa/gokart-action: Integrate GoKart security static analysis to GitHub Actions Integrate GoKart security static analysis to GitHub Actions - GitHub - kitabisa/gokart-action: Integrate GoKart security static analysis to GitHub Actions github.com 1. Fork한 레포지토리에 들어가서, yml 파일을 만든다. 2. [.github/workflows] 디렉토리에 [gokart.y..

yml 예시 파일을 복사해본다. https://github.com/Ynniss/golang-security-action GitHub - Ynniss/golang-security-action: Github action that let you run gosec (https://github.com/securego/gosec) Github action that let you run gosec (https://github.com/securego/gosec) - GitHub - Ynniss/golang-security-action: Github action that let you run gosec (https://github.com/securego/gosec) github.com 1. Fork한 레포지토리에 들어간..

보호되어 있는 글입니다.

로그인 MC SafeSearch : SQL 주입 또는 다른 우회를 적용하지 않고 MC SafeSearch의 원래 사용자 자격 증명으로 로그인합니다. 감도 안잡히니 [Unsolved]를 클릭하여 감을 잡아야겠다. ..? 무려 7년전 영상이다. 보고와야겠다. 정보) 자신의 반려동물 Mr. Noodles을 비밀번호로 하는 것을 좋아하고, o을 0으로 바꿔서 비밀번호로 설정한다. 로그인하러 가자. 저번에 Admin으로 로그인하여, 모든 유저의 정보를 본 적이 있다. 그 유저 중에는 위와 같은 유저가 있었다. 이 계정으로 로그인 해보겠다. 풀렸다.

노출된 지표 : 널리 사용되는 모니터링 시스템에서 스크랩할 사용 데이터를 제공하는 끝점을 찾으십시오 . [popular monitoring system]에 링크가 걸려있다. 들어가보자. 깃허브 레포지토리에 접속된다. 모니터링 시스템을 이걸로 쓰나보다. 다시 돌아와서 [Unsolved] 버튼을 클릭해본다. 이런 페이지가 나오게 되는데. 노란 형광색 표시가 되어있는 링크로 들어가보면 공식 문서 같은 것이 나온다. 내려보면서 둘러보겠다. 좀 내리면 이런 문단이 나오는데, 초기 설정 같아보인다. 하지만 [Juice-Shop]은 3000포트이므로, 뒤에 metrics만 붙여서 접속해보겠다. 뭔 코드들이 나오는데, 이게 모니터링 시스템인가? 맞나보다. 풀렸다. 별 1개 난이도에서 남은 것은 1개인데, 이거는 전에 ..

깡패 챗봇 : 지원 챗봇에서 쿠폰 코드를 받습니다. 쿠폰 코드를 받는 문제인데, 카테고리가 브루트포스면 뭐지? 일단 가봐야겠다. 여기가 지원 챗봇이랑 대화하는 곳이다. 챗봇이 인사를 해준다. 쿠폰달라고 해봐야겠다. 브루트포스니까, 계속 달라고 하는건가보다. 예전에 챗봇이 다른 사람의 개인정보를 유출시킨 적이 있었는데, 비슷한 것 같다. 챗봇 : 죄송하지만, 그러면 CFO가 내 기억을 지워버릴 수 있습니다. 안되는게 어딨나. 한 번 더 말해봐야겠다. 한 번 더 계속 달라고 해보자 줄 때까지 해야겠다. 에이ㅋㅋㅋ 쿠폰 재고는 남아있었다. 그리고 풀렸다. 문제를 풀기 위해 의도치 않게 진상짓을 했는데, 현실에서는 이러지 말자. 안되는건 안되는거다.