웹 해킹 공부 (입문자)

아직 많이 부족하지만..

제가 처음에 웹 해킹을 시작할때 뭘 먼저 해야할지 몰랐던 기억이 나 포스팅 합니다!

이제 막 관심이 생기신 분이 아니라면 뒤로가기 버튼을 눌러주세요..

 

 

저의 경우 webhacking.kr을 먼저 풀어봤어요. 물론 처음에는 막막하겠죠 html css javascript php

이게 다 뭔지 모르고 바위에다가 헤딩하는 느낌으로 공부를 시작했었어요.

 

한 두문제 풀이를 찾아보며 풀다가 이렇게 공부하다가는 느는게 없겠다 싶어 생활코딩책을 구입하여

html부터 php까지 간단하게 공부를 했었어요. ( 책을 먼저 보는걸 추천합니다! )

그 후 계속 맨땅에 해딩을 하면서 webhacking.kr을 최대한 풀었어요.

 

webhacking.kr

Webhacking.kr

 

아직도 다 못풀었다는....

 

 

 

웹해킹 케이알을 맨 먼저 푸는게 좋을 것 같다 생각한 것은 문제 유형이 굉장하게 다양하게 있어요.

한 문제 한 문제 문제를 생각하며 구글링하고 한 문제에 하루 이틀씩 걸려 풀고 정리를 하다보면

얕게나마 머리에 다양한 유형의 공격들을 알고 있을거에요.

 

그 다음에 저는 root-me.org를 추천합니다!

 

web-client prob

web-server prob

 

 

이번 사이트도 솔직히 반 조금 넘게 푼것 같아요.

웹해킹kr에서 맨땅에 해딩을 해서 rootme는 비교적 빠르게 풀 수 있었어요.

rootme의 가장 큰 장점은 문제마다 카테고리가 있어요 위를 보면 crlf,fileupload 이런 식으로 말이죠

구글링 하기도 쉽고 제가 시간을 돌린다면 rootme를 먼저 풀것 같기도 해요!

그냥 rootme먼저 풀고 webhacking 푸는걸로 ㅎㅎ

 

이제 두 사이트를 정복하셨다면 다양한 유형의 웹 해킹에 대해 눈이 떠지실 거에요

모르는 문제 유형에도 어딜 찌르면 취약점이 터질지 감이 살짝 오고 그러실 거에요

저는 이 두사이트를 대충 풀고 ctf에 도전을 했는데요

한 20대회 정도는 혼자 웹해킹 파트만 싹 푼거같아요. (물론 못푼 문제가 더 많아요 ㅎㅎ)

 

아래 사이트에 달력으로 ctf 정보들이 쭉 담겨져 있어요

ctftime.org/

CTFtime.org / All about CTF (Capture The Flag)

ctf는 보통 주말에 많이 있는데 저는 평일에는 웹해킹kr같은 워게임을 풀고

주말에는 ctf 대회들에 참가를 했어요. 팀원을 꾸릴 수 있다면 더 좋을거에요!!!

ctf에서 제일 중요한 점은 삽질이라 생각해요. 모르는 유형의 문제에 대해

고민하고 삽질하고 후에 writeup이 올라오는데 그걸 볼때 기억에 더 오래 남더라고요

 

그러다 지금 상황이에요... 쉬운 대회들은 올클이 가능하지만

조금만 어려운 문제가 나오면 아직도 막막해요..

그래서 한 유형에 집중적으로 공부하자는 생각으로 los를 풀었어요(sql injection)

sqlinjection이 가장 흔하긴 하지만 다양한 bypass들이 존재하고 owasp10에 들어갈만큼

파급력이 있다 판단을 했었어요. 결국 1월달에 다풀고 랭킹 69등에 올랐어요!

 

 

 

이걸풀고 sql에 대해 더 깊이 알고 다양한 db에 대해 알게 된건 좋았지만

다양한 문제에 대해 어떤 방식으로 exploit을 할지에 대해 상상력이 부족하고

언어에 대한 이해도도 너무 낮다는 생각이 들었어요.

 

저는 그래서 웹의 기초부터 더 차근차근 공부하자는 생각으로 개발을 공부하고 있어요!

그래서 제가 생각하는 웹해킹 일정표는

 

월~수 웹 개발 공부 ( 직접 취약점을 만들어 터뜨려 보는것도 좋아요 )

목,금   웹 wargame 풀기

토,일   ctf에 참여하고 writeup까지 정리

열심히하신다면 좋은 성과 있으실 거에요!!

화이팅!!>..