사이트를 제작하면서 보안에도 신경을 써야 한다는 생각이 들었습니다. 이곳 저곳 찾아보니 보안에 대해서도 어느 정도 알면 좋지 않을까 해서

직접 웹 해킹을 해보면서 알아가 보도록 합시다. (물론 합법으로요...)

웹 해킹 연습 사이트

웹 해킹의 다양한 방식적인 부분을 게임(?) 같이 한번씩 해 볼 수 있는 사이트입니다. 워낙 웹 해킹 사이트 중에서도 유명한 사이트라서 한번쯤은 접해 봤을지도 모르겠네요.

https://webhacking.kr

사이트 주소마저 웹해킹입니다.

회원가입

사이트에 접속해서 왼쪽에 Login / Join 버튼을 눌러서 계정을 생성해 주세요. 계정이 있어야 진행이 될 듯 합니다.

간단하게 ID와 비밀번호, 이메일을 적어 주면 바로 계정이 생성이 됩니다. 바로 위에서 로그인을 해 주면, 로그인에 성공했다고 메세지가 뜰 거예요.

문제 풀어보기

Challenge(old) 라는 메뉴에 들어가면, 간단한 해킹 연습 문제들이 나오게 됩니다.

저는 이미 몇 개 풀어 보아서, 완료된 항목은 이렇게 하늘색으로 표시가 되네요. 옆에 아이콘으로 어떤 방식의 문제인지도 알려줍니다.

문제를 클릭하면 이렇게 각 문제마다 다른 페이지가 나옵니다. 어떻게 해야 할지 잘 알 수 있는 문제들도 있지만, 대게는 뭘 해야할지 모르는.... 그런 문제들도 꽤 많습니다.

문제 풀이

우선 제가 풀어 본 몇 가지 문제들을 풀이를 해 드리도록 하겠습니다. 우선 웹 해킹에 대해 공부하기 전에, php나 Js 같은 웹 구성 언어들의 기본적인 문법 등은 알고 있으면 도움이 됩니다.

저는 이미 풀어봐서 처음 모습과 좀 다르게 표시되는 것 때문에, 다른 계정을 만들어서 진행하였습니다.

1번 문제 (php, 쿠키)

1번 문제를 클릭하면, level 의 값과, view source라는 링크가 나오게 됩니다. 우선 view source를 클릭해 보세요. (우클릭으로 새 창에서 열어보세요)

<?php  
if(!is_numeric($_COOKIE['user_lv'])) $_COOKIE['user_lv']=1;  
if($_COOKIE['user_lv']>=4) $_COOKIE['user_lv']=1;  
if($_COOKIE['user_lv']>3) solve(1);  
echo "<br>level : {$_COOKIE['user_lv']}";  
?>

이렇게 php 구문만 따로 해석해 보겠습니다.

'user_lv' 이라는 쿠키가 숫자가 아니면, 쿠키의 값을 1로 정해줍니다. 그리고 쿠키의 값이 4 이상이면, 또 쿠키의 값을 1로 정합니다. 또 쿠키의 값이 3 초과면 1번 문제를 solve 했다고 구문이 나와 있습니다.

그렇다면 이 문제는 "쿠키" 를 조작하는 문제라고 볼 수 있겠네요. Chrome Webstore 에서 "EditThisCookie" 라는 확장앱을 설치해 줍니다.

• 설치 바로가기

이렇게 확장 프로그램을 실행하면, 쿠키의 이름과 값이 나오게 되죠. 아까 php 구문에서 쿠키의 값이 3이 초과될 경우 성공이라고 했습니다. 그런데 그 구문 앞에 먼저 4 이상이면 1로 다시 세팅한다는 구문이 있어요. 성공하려면, 쿠키의 값이 3 초과 4 미만이여야 한다는 겁니다. 3 < user_lv <4

그러면 3.5로 쿠키를 설정해 봅시다.

뭐 이미 풀었다고 뜨긴 하지만... 성공입니다.

14번 문제 (Js)

14번 문제는 자바스크립트에 관한 문제인 것 같네요. 이 중에서 제가 그나마 잘 알고 있는 것이 자바스크립트니까 한번 풀어 보겠습니다.

페이지를 열면, 그냥 값을 입력하는 폼만 있고 아무것도 없네요. 개발자 도구 [F12] 를 눌러서 소스를 한번 보도록 합시다.

<script> 부분을 펼쳐 보면,

function ck(){ 
var ul=document.URL; 
ul=ul.indexOf(".kr"); 
ul=ul*30; 
if(ul==pw.input_pwd.value) { 
location.href="?"+ul*pw.input_pwd.value; 
} else { 
alert("Wrong"); } 
}

이렇게 ck라는 함수 (function) 가 있네요. form 소스를 보니, check 라는 버튼을 클릭하면 이 ck 함수를 실행하게 되어 있습니다.

ck 함수는 변수 ul의 값을 이 사이트의 URL로 정하고, 이 ul 값에서 ".kr" 이 있는 글자가 몇번째인지를 다시 이 값으로 정하고 마지막으로 이 값에 30을 곱해줍니다. 그래서 최종 결과값이 ul 이 되겠죠.

조건문에서는 ul의 값이 pw.input_pwd.value, 그러니까 아까 글자 입력하는 칸에 입력한 값이랑 같으면 됩니다.

쉽게 이야기해서, ul의 값을 알아내서 그 칸에 입력하면 된다는거죠. 알아내 봅시다.

아까 개발자 모드 [F12] 에서 두 번째 탭에 보면 "콘솔" 이라는 탭이 있습니다. 여기서 간단한 Js 구문을 실행할 수 있죠. 우선 이 코드를 입력해 봅시다.

alert(document.URL);

여기서 alert는 괄호 안의 값을 알림창으로 출력한다는 내용입니다.

이게 첫번째 ul의 값입니다. 이제 이 코드를 입력해 볼까요?

alert("https://webhacking.kr/challenge/js-1/".indexOf(".kr");

이번에는 document.URL에서 .kr이 몇 번째 글자인지를 알려줍니다. 18번째라고 하네요. 그러면 여기에 30을 곱해 볼까요? 계산기를 써도 되지만, 자바스크립트로 계산을 할 수도 있답니다. 그러면, 540을 입력하고 "check" 버튼을 눌러 봅시다. 성공입니다.

16번 (Js)

자바스크립트 문제가 나름 쉬운지라, 마지막으로 Js 문제만 하나 더 풀어 봅시다. 이렇게 깜깜한 화면에 노란색 별 하나가 있네요. 마찬가지로 개발자 도구 [F12]를 눌러서 스크립트 부분만 확인해 봅시다.

document.body.innerHTML+="<font color=yellow id=aa style=position:relative;left:0;top:0>*</font>"; 
function mv(cd){ 
kk(star.style.left-50,star.style.top-50); 
if(cd==100) star.style.left=parseInt(star.style.left+0,10)+50+"px"; 
if(cd==97) star.style.left=parseInt(star.style.left+0,10)-50+"px"; 
if(cd==119) star.style.top=parseInt(star.style.top+0,10)-50+"px"; 
if(cd==115) star.style.top=parseInt(star.style.top+0,10)+50+"px"; 
if(cd==124) location.href=String.fromCharCode(cd)+".php"; // do it! } 
function kk(x,y){ rndc=Math.floor(Math.random()*9000000); 
document.body.innerHTML+="<font color=#"+rndc+" id=aa style=position:relative;left:"+x+";top:"+y+" onmouseover=this.innerHTML=''>*</font>"; }

html 코드도 보면

<body bgcolor="black" onload="kk(1,1)" onkeypress="mv(event.keyCode)">

keypress, 그러니까 키보드를 클릭하는 이벤트가 발생하면 mv 함수를 실행하네요. 그리고 자바스크립트에 cd의 값이 124일때 주석에 //do it! 이라고 되어 있네요. 그러면 onkeypress 이벤트를 그냥 cd = 124로 수정해 보도록 합시다.

<body bgcolor="black" onload="kk(1,1)" onkeypress="mv(event.cd=124)">

그러고 키보드의 아무 키나 눌러보면, 바로 풀리네요. 사실 이 문제는 원래 이렇게 푸는 문제가 아닙니다. 별의 위치나 그런 것들을 조합해서 알아내야 하지만, 이렇게 바로 푸는 방법도 있습니다.

마무리

이런 문제들을 처음 접해보긴 했지만 풀어 보니 재미있긴 하네요. 여러분들도 사이트에 들어가서 한 번 풀어 보시면 좋을 듯 합니다. 앞으로 보안 관련 글들도 종종 올릴 테니 많이 찾아주세요!

링크

• 연습 사이트
• PHP
• 쿠키 조작 확장앱

개발자이거나, 코딩 / 프로그래밍에 관심이 있으시다면 한 번쯤은 깃허브¹ 에 대해 들어 보셨을 겁니다.

(아니라도 상관 없어요~^^)

이 블로그도 깃허브를 이용해서 만들어진 블로그랍니다! 하지만 깃허브 블로그에 관한 내용은 좀 어려우니, 이번엔 깃허브 사용법을 간단하게 알려 드리도록 하겠습니다!

회원가입

깃허브👉바로가기

우선 깃허브에 들어가면, 이런 (있어보이는) 페이지가 뜹니다. 아쉽게도 외국 페이지라서 영어로 봐야 할 듯 하네요. 깃허브 계정이 있다면 다음 단계로 넘어가셔도 됩니다. 계정이 없으신 분들은 계정을 새로 만들어 주셔야 해요!

sign up이라는 버튼을 눌러서 회원가입 창으로 들어가 주세요.

1. 이메일 입력

2. 비밀번호 입력

3. 닉네임 설정

4. 인간 증명 ²

이메일 인증 등 간단한 절차를 걸치면 바로 깃허브 계정이 생성됩니다. 이제 이 계정으로 로그인을 하시면 됩니다!

레포지토리 만들기

우리가 저장소 라고 부르던 것을 깃허브에서 레포지토리 라고 부릅니다. (뭐 대충 이렇게 이해하면 될 것 같네요...)

레포지토리를 만들면, 그 안에 폴더와 파일들을 만들어 줄 수 있어요. 그러니 한번 만들어 봅시다.

깃허브에 로그인하면, 이런 화면을 볼 수 있습니다. 아직 레포지토리를 만들지 않아서 없는 경우에는, 왼쪽에 초록색 버튼이 있을 거예요.

Create repository라는 버튼을 클릭해 주시면 됩니다. 이 버튼이 표시되지 않을 경우에는 New 버튼을 눌러주세요.

레포지토리 생성 창입니다. 여기서 기본 정보들을 입력해 줘야 해요 (좀 귀찮지만...) 첫 레포지토리니까 본인 닉네임을 제목으로 레포지토리를 만들어 주세요. 이 레포지토리의 Readme.md 파일은 여러분 깃허브 프로필에 표시됩니다.

이렇게 대놓고 말이예요

아 맞다! Add readme file 체크란에 체크도 꼭 해주세요.

그렇게 여러분의 첫 레포지토리를 만들고 나면, 다시 깃허브 홈으로 들어와 보세요. 여러분이 만든 것을 한번 구경해 봅시다.

오른쪽 위에 ^{아주 작게} 있는 프로필 사진을 클릭하면, Your Profile이라는 버튼이 뿅! 하고 나타납니다. 클릭해주세요.

아마 이런식으로 표시될 것 같습니다.

프로필 꾸미기

여러분의 깃허브 프로필을 꾸미려면, 아까 여러분 닉네임으로 만들었던 레포지토리 안에 있는 Readme.md 파일을 수정하면 됩니다. (말은 쉽죠?) 이 .md 파일 확장자는 "마크다운"³ 파일을 뜻해요. 그래서 마크다운 문법을 이용하면 쉽게 프로필을 작성할 수 있습니다.

기본적인 마크다운 문법

마크다운을 A부터 Z까지 설명하기에는 힘드니까 (절대 귀찮은게 아니고...) 제 프로필에 쓰인 마크다운에 대해서 설명을 해 드릴게요.

1. 헤딩 (제목) 마크다운에서 제목은 샵 [#] 으로 표현합니다. 이 샵의 개수에 따라서 제목의 크기가 정해지죠. 헤딩은 1단계부터 6단계까지 사용할 수 있고, 1단계가 제일 큰 제목이랍니다. ⁴

# This is Heading - 1
## This is Heading - 2
### This is Heading - 3
#### This is Heading - 4
##### This is Heading - 5
###### This is Heading - 6

2. 순서 없는 목록 (점)

• 👋 Hi, I’m @Eggjini

• 👀 I’m interested in Programing

• 🌱 I’m currently learning Visual C++, Python, MySQL, Md

• 💞️ I’m looking to translate Readme to Korean

• 📫 How to reach me Just send a mail egg.design@daum.net

  이 결과를 보시면, 각각 목록 앞에 점이 있는 것을 볼 수 있습니다. 이 점은 대쉬 (-) 를 나타내서 사용해요. 키보드의 0 옆에 있는 빼기 버튼이요.

- 👋 Hi, I’m @Eggjini
- 👀 I’m interested in Programing
- 🌱 I’m currently learning Visual C++, Python, MySQL, Md
- 💞️ I’m looking to translate Readme to Korean
- 📫 How to reach me Just send a mail <egg.design@daum.net>

3. 순서 있는 목록 (숫자) 이거는 제일 간단한 구문입니다. 그냥 숫자를 쓰고, 마침표 (.)를 붙이면 자동으로 숫자가 붙은 목록을 만들 수 있어요.

스킬 배지 만들기

제가 처음 깃허브를 보고 제일 궁금해했던 배지 입니다.

생긴건

이렇게 뭔가 있어보이게 생겼는데, 은근슬쩍 내 실력이 이정도다 자랑할 수 있습니다.

• 배지는 https://shields.io/ 이 사이트
• 아이콘은 https://simpleicons.org 이걸 참고하시면 됩니다.

코드를 보여드리자면...

<img src="https://img.shields.io/badge/C++-1E2B67?style=for-the-badge&logo=C%2B%2B&logoColor=ffffff"/>

결과:

아이콘 사이트 https://simpleicons.org/ 에 접속해서 아이콘의 이름을 확인하고, 아래 코드에 대입하면 됩니다.

<img src="https://img.shields.io/badge/내용-배경색깔?style=스타일&logo=로고이름&logoColor=로고 색깔"/>  

여기서 색깔은 모두 16진수 색상 코드를 말합니다. Red나 Blue, White 같은 색상 이름도 가능해요.

내용에는 배지에 표기될 글자를 입력하시면 됩니다.

스타일에는 plastic, flat, flat-square, for-the-badge, social 이 있습니다. 저는 for-the-badge 스타일을 사용하고 있어요.

각각 스타일에 따른 모양입니다.

로고이름에는 아까 아이콘 사이트에서 찾은 아이콘의 이름을 대입하면 됩니다. 예외적으로 C++는 그대로 쓰는 것이 아니라, C%2B%2B라고 작성해야 해요.

깃허브 스탯

깃허브 스탯은 깃허브에서 내가 활동한 데이터를 바탕으로 스탯을 시각적으로 제공해줍니다. 마찬가지로, 내가 이만큼 한다 라는걸 보여줄 수 있겠죠?

1. 많이 쓴 언어

   [![Top Langs](https://github-readme-stats.vercel.app/api/top-langs/?username=깃허브 닉네임&theme=radical&layout=compact&)](https://github.com/깃허브 닉네임/github-readme-stats)  

   결과:

2. 깃허브 스탯

   ![깃허브 닉네임's GitHub stats](https://github-readme-stats.vercel.app/api?username=깃허브 닉네임&theme=radical&show_icons=true)

결과: 3. 트로피

![trophy](https://github-profile-trophy.vercel.app/?username=깃허브 닉네임&theme=radical)

이 스탯 마크다운들은 제가 표시해 둔 "깃허브 닉네임" 부분을 잘 입력해 주셔야 합니다. 안그럼 작동이 안될수도 있어요. (아니면 다른 사람 스탯이 들어가는 경우도 있습니다)

다른 사람 파일 이용하기

저는 블로그 예제파일을 깃허브를 통해서 공유하고 있습니다. 사실상 제일 편리합니다. (히힛)

Fork

이렇게 다른 사람이 올려놓은 파일을 깃허브에서는 나한테 가져올 수 있습니다. 정확히 말하면 Ctrl + C 해서 Ctrl + V 하는 개념이예요. 레포지토리의 위쪽에 보시면 Fork 라는 버튼이 있는데, 말 그대로 포크로 집어서 가져옵니다.

우선 이번에는 로컬 저장소로 저장하지 않고, 내 레포지토리에서 바로 수정하는 방법을 알아봅시다.

• 👉 [연습용 깃허브 레포지토리]

이 링크를 따라 들어가면 제가 연습을 하라고 만들어 둔 레포지토리가 나올 겁니다.

요렇게 레포지토리가 나오면, 저~ 오른쪽 위에 Fork 라는 버튼이 보일 겁니다. 별 모양 버튼 왼쪽에요! 이 Fork 버튼을 누르시면, 이 연습용 레포지토리가 여러분의 계정에 복제됩니다.

다시, 여러분의 프로필에 들어가서 두 번째 탭인 "Repository" 를 눌러 주면

이렇게 여러분의 레포지토리가 보일 겁니다. 방금 Fork 한 레포지토리는 아마 맨~ 위에 있을 거예요. 그 레포지토리를 클릭해서 들어가보세요. 그리고 Readme.md 파일을 클릭해서 열어보세요.

오른쪽 위에, 연필 모양 아이콘을 눌러서 편집 모드로 들어가도록 합시다.

여기서 제가 이 부분을 수정해 보세요! 라고 적어 놓은 부분을 지우고, 마음껏 수정해 보세요. 그러고 나서 아래쪽에 초록색 Commit Change 버튼을 누르면 됩니다.

(수정한 게 없으면 커밋이 되지 않아요~) 그러면 이 파일은 여러분의 레포지토리에서만 저장된 거랍니다.

Pull request

아까 수정한 파일은 그저 여러분의 복사본 레포지토리에서만 반영이 된 거랍니다. 제가 만든 원본에는 절대 반영되지 않아요. 나는 그냥 이렇게만 사용할 거예요~ 하는 분들은 상관 없지만, 다른 사람의 코드에서 버그! 나 오류 ,오타 를 찾았을 경우, 또는 내 아이디어를 이 코드에 반영시키고 싶다 하시면 원본 파일에 제가 수정한 내용을 합쳐 주세요~ 부탁을 해야 합니다.

그 방법이 바로 Pull request 예요. 여러분이 아까 복제해 와서, 수정한 레포지토리에서 두 번째 탭 Pull request 에 들어오면, 아래와 같은 화면이 나옵니다.

여기서 또 파릇파릇한 초록색 New Pull request 버튼을 눌러 주세요.

그러면 이렇게 여러분이 수정한 부분이 한눈에 보이게 됩니다.

아래쪽에 이렇게 메시지를 쓸 수 있는 칸이 있는데, 여기에 여러분이 수정한 내용을 잘 알아볼 수 있도록 설명을 해 주셔야 해요. 그래야 개발자도 여러분의 수정사항을 반영할 확률이 크답니다.

어쨌든 수정한 내용을 다 확인하고, 또 초록색 Create pull request 버튼을 누르면

이렇게 원본 파일에 Pull request가 달리게 됩니다. 원본 파일 주인이 이를 확인하고, 질문 사항이 있으면 토론도 하고 해서 수정 사항을 Merge 하게 되면, 여러분의 수정 사항이 자동으로 원본 파일에 반영됩니다.

이를 통해 개발자들과 소통하고, 여러분의 프로그래밍, 코딩 실력도 향상시킬 수 있다고 생각해요. 그래서 개발자들이 깃허브를 많이 사용하는지도 모르죠.

이 글을 여기까지 읽으신 여러분, 수고 많으셨습니다. 보면서 한번씩 꼭! 따라해 보세요. 보는 걸로는 절대 기억이 나지 않더라고요.

다음 포스팅에서 다시 돌아오겠습니다~

각주

[1]: 깃허브는 분산 버전 관리 툴인 깃 저장소 호스팅을 지원하는 웹 서비스이다. 루비 온 레일스로 작성되었다. GitHub는 영리적인 서비스와 오픈소스를 위한 무상 서비스를 모두 제공한다. 위키백과

[2]: 생각보다 어려울지도 모른다.

[3]: 마크다운은 일반 텍스트 기반의 경량 마크업 언어다. 일반 텍스트로 서식이 있는 문서를 작성하는 데 사용되며, 일반 마크업 언어에 비해 문법이 쉽고 간단한 것이 특징이다. 위키백과

[4]: 샵을 7개 쓰면 표시되지 않는다. (6이 최대) ####### This is Heading?

링크

• 윈도우 11 설치 알아보기
• 깃허브 바로가기
• 연습용 레포지토리
• 배지 사이트
• 아이콘 사이트

HTML¹ 이나 CSS² 를 이용해서 사이트를 제작하고, 디자인하다 보면!

이런 그라데이션³ 이 어딘가에 필요하곤 하죠.

그럴 때마다 구글 검색을 통해서 그라데이션 불편하게 찾지 말고! 이제 이 사이트 하나로 간편하게 그라데이션 CSS를 적용해 보세요.

• 사이트 바로가기: https://webgradients.com/

사용 방법

이 사이트를 사용하는 방법은 정말 간단합니다.

우선, 사이트에 접속해서, 원하는 그라데이션 효과를 찾은 다음 바로 CSS코드를 복사 할 수 있어요.

1) 원하는 그라데이션 효과 찾기

이 사이트에는 무려 180가지의 그라데이션 효과들이 있습니다. 각각 그라데이션들의 색상 코드와 png 파일⁴ 도 무료로 제공된다고 하네요~

2) CSS (스타일시트) 코드 복사

CSS는 Cascading Style Sheets 의 줄임말로, 마크다운 언어⁵ 가 실제로 표시되는 형식이나, 디자인 같은 것들을 표시하는 스타일시트 언어랍니다. 그라데이션의 CSS 코드를 복사하면 여기에 나타나는 그라데이션들을 모드 사용할 수 있어요!

예를 들어, 이러한 그라데이션 효과의 CSS를 사용하고 싶다 하시면 오른쪽 아래 Copy CSS를 클릭하시면 자동으로 클립보드에 복사된답니다. CSS 코드 뿐만 아니라, 16진수 색상 코드⁶도 표기되어서 포토샵이나 일러스트 같은 프로그램에서도 사용하실 수 있어요.

사용 예시

저 산뜻한 그라데이션의 CSS를 복사 해 봤습니다.

background-image: linear-gradient(to top, #e14fad 0%, #f9d423 100%);

무슨 뜻인지 알 필요는 없고, (알아두면 좋긴 합니다만) 이 CSS를 한번 적용해 보도록 할게요.

이렇게 버려둔 HTML 파일을 재탕했습니다... webgradient 라는 class로 새로운 div 를 만들어 주고, 연결된 CSS파일에 webgradient라는 클래스에 아까 복사해둔 코드를 넣어봤어요~

화려한 그라데이션이 저 작은 글씨⁷를 감싸고 있네요...

각주

[1]: HTML(HyperText Markup Language)은 웹을 이루는 가장 기초적인 구성 요소로, 웹 콘텐츠의 의미와 구조를 정의할 때 사용합니다.

[2]: 캐스케이딩 스타일 시트는 마크업 언어가 실제 표시되는 방법을 기술하는 스타일 언어로, HTML과 XHTML에 주로 쓰인다.

[3]: 그라데이션(Gradation)은 하나의 색채에서 다른 색채로 변하는 단계, 혹은 그러한 기법을 의미하는 단어다.

[4]: 'Portable Network Graphics'의 약자로서 그림 파일 형식 가운데 하나이다.

[5]: 마크다운은 일반 텍스트 기반의 경량 마크업 언어다. 일반 텍스트로 서식이 있는 문서를 작성하는 데 사용되어진다.

[6]: 예시) #ffffff (흰색) #ff0000 (빨간색) #000000 (검정색)

[7]: "This is Webgradient!"

링크

오늘 포스팅 관련 코드들은 모두 깃허브 레포지토리에 업로드 되어 있습니다.

• 깃허브 바로가기: https://github.com/Eggjini/Blog-Examples