이미지에 대해 알아보자 HTML 삽입 미리보기할 수 없는 소스 비트맵과 벡터 HTML 삽입 미리보기할 수 없는 소스 Bitmap 비트맵(Bitmap)은 픽셀로 만들어진 이미지입니다. jpg, png, gif, webp가 대표적인 Bitmap이미지입니다. Vector 벡터(Vector)는 점, 선, 좌표를 수학적으로 계산하여 만들어낸 이미지입니다. 대표적으로 svg가 해당됩니다. Vector는 픽셀로 만들어진 이미지가 아니기 때문에 확대를 하여도 이미지가 깨지지 않습니다. 이미지의 종류 HTML 삽입 미리보기할 수 없는 소스 JPG 손실 압축방식에 따른 이미지 손상 손실 압축이기 때문에 용량을 줄임 가장 널리 사용 PNG 비손실 압축 이미지 투명도가 가능 GIF 비손실 압축 짧은 동영상 이미지 대부분의 움..
Mango HTML 삽입 미리보기할 수 없는 소스 Vulnerability HTML 삽입 미리보기할 수 없는 소스 웹 사이트로 들어가보면 해당 문구가 보인다. 그대로 URL에 넣어보면 "guest"가 출력이 됩니다. 해당되는 값을 찾는다면 그uid를 보여주는데 소스코드를 보시면 const BAN = ['admin', 'dh', 'admi'];로 필터링을 하고 있습니다. /?login?uid[$ne]=guest&upw[$regex]="^alpha+num" 위와 같은 방식으로 Injection을 수행해도 동작하지만 문제는 uid가 "guest" "admin" 뿐만 아니라 "testuser" "dreamhack" 도 있다는 것 입니다. "$ne" 말고도 uid에 $regex를 사용해 uid[$regex]=ad..
No SQL Inection HTML 삽입 미리보기할 수 없는 소스 No SQL Inection HTML 삽입 미리보기할 수 없는 소스 No SQL Injection도 SQL Inection과 유사하게 쿼리에 대한 제대로 된 검증이 없어서 발생됩니다. MongoDB의 같은 경우 Object, Array 타입을 사용할 수 있어서 `$eq` `$ne` 와 같은 연산자를 사용할 수 있습니다. http://victim/?data=1234 -> data : 1234 http://victim/?data[]=array -> data:['array'] http://victim/?data[]=1234&data[]=array -> data:['1234','array'] http://victim/?data['username..
No SQL Database HTML 삽입 미리보기할 수 없는 소스 비 관계형 데이터베이스 HTML 삽입 미리보기할 수 없는 소스 비 관계형 데이터베이스는 RDBMS와 다르게 SQL을 사용하지 않습니다. 또한 저장하는 방식이 테이블의 row, column 형태로 저장하지 않고 Collection , Document , Key : Value 형태로 데이터를 저장합니다. 비관계형 데이터베이스의 종류는 MongoDB, Redis , CouchDB.. 등이 있습니다. 일단 MongoDB, Reids , CouchDB의 문법을 알아보도록 하겠습니다. MongoDB HTML 삽입 미리보기할 수 없는 소스 MongoDB는 Document형태로 데이터를 저장합니다. 데이터의 형식이 JSON이라 쿼리를 질의할 때도 JS..