기록★일지

2번 문제이다. 보자마자 바로 sql injection을 넣었다. 당연히 실패했다.  Burp Suite를 사용하여 정보를 봤더니 스크립트 끝난 후 주석으로 Hint가 있었고 Join을 ID/PW에 넣었다.  위에 스크립트 언어에는 ID와 PW가 같으면 alert라고 경고창이 뜬다고 코드가 작성되어 있다.join / join으로 입력 했더니 You can`t join! Try again이라고 출력됐다.    아이디와 패스워드를 아무렇게 적은 뒤 Burp Suite이용하여 id와 pw 값을 join / join으로 변경하면 끝이다.   이 문제는 딱히 코드를 해석한다거나 그런 건 필요없는 문제 같다.웹 페이지가 GET으로 넘어가는 걸 중간에 가로채서 해킹하는 그런? 문제라고 볼 수있다.

우선 1번 문제는 asp로 작성된 코드이다.asp와 jsp 모두 를 사용하기 때문에 이 부분으로 구분하는 건 아니고 str = Reqeust("str") 이 부분이 asp가 사용하는 방식이다. 보통 jsp 같은 경우 str = request.getParameter("str"); 이런 식으로 파라미터를 사용한다. 그리고 사실 url에 .asp라고 되어있다.  3줄 >  str = Request("str") 요청 str이라는 매개변수를 받음 5줄 : If not str = "" Then15줄 : End if   > 문자열이 비어 있을 경우 종료 6줄 result = Replace(str, "a", "aad") > a가 입력되면 aad로 바꾸고 result 저장 7줄 result = Replace(result..