function connexion(){ var username = prompt("Username :", ""); var password = prompt("Password :", ""); var TheLists = ["000:000000"]; for (i = 0; i < TheLists.length; i++) { if (TheLists[i].indexOf(username) == 0) { var TheSplit = TheLists[i].split(":"); var TheUsername = TheSplit[0]; var ThePassword = TheSplit[1]; if (username == TheUsername && password == ThePassword) { alert("Vous pouvez uti..

들어가자마자 입력창이 떠서 그냥 아무 문자열이나 넣어봤습니다. 패스워드가 아니라고 뜨네요. 아무래도 JS 코드를 봐야 할 것 같습니다. 대놓고 PW가 적혀있습니다. 메인 페이지에서 새로고침을 한 후 PW를 입력해 정확한 PW인지 확인해보겠습니다. alert 창도 제대로 뜨네요. 이대로 FLAG 제출 칸에 제출해보겠습니다. :D

이번 문제에서는 입력 폼이 두 개 있습니다. 하나는 Username, 하나는 Password. 이것만 봐서는 어디에 취약점이 존재하는지 알 수 없으니 개발자 도구로 소스코드부터 뜯어보겠습니다. 약 2~3분 정도 코드를 보고 있었지만 아무것도 나오지 않았습니다. head 태그 안에 js 코드가 있으므로 이 코드를 확인해보겠습니다. JS 코드가 정답이였습니다. 코드에 나온 대로 ID, PW를 입력해봤습니다. alert 창에 써져있던 문구에 따라서 사용했던 PW를 FLAG 입력 칸에 넣어주겠습니다. ez!

Start the challenge를 눌러보니 위와 같은 메인 페이지가 보입니다. 텍스트 상자와 버튼이 비활성화되어있습니다. 개발자 도구에서 HTML Source Code를 보겠습니다. text와 submit 타입의 input 태그에 disabled라는 글자가 붙어있습니다. disabled라는 글자를 지워보겠습니다. 정상적으로 입력 폼이 활성화된 걸 볼 수 있습니다. text 상자에 아무 문자열이나 입력하고 Member access 버튼을 눌러보겠습니다. FLAG를 획득했습니다. Root Me 사이트에서는 FLAG를 Password라고 하는 것 같습니다. Root Me에는 트윗 시스템도 있나 보네요? :D 여기도 많이 애용할 것 같습니다.

- 소켓(Socket)이란? 소켓의 사전적 정의는 "컴퓨터 네트워크를 경유하는 프로세스 간 통신의 종착점"입니다. 이를 간단하게 풀어 생각하면 데이터를 송수신 할 때 쓰이는 하나의 방이라고 생각하면 될 것 같습니다. - Socket과 http의 차이 둘의 차이를 표로 정리하여 비교해보면 이렇습니다. Socket http 단방향 통신(Client->Server) 양방향 통신 서버로 접근해야 할 때 용이 실시간 연결 할 때 용이 자원을 적게 소모 자원을 많이 소모 소켓은 여러가지 분야에 널리 사용됩니다. - 서버와 클라이언트의 소켓통신 과정 (소켓 프로그래밍) socket() 함수를 사용하여 소켓을 생성해줍니다. 그리고 서버에서 bind() 함수를 사용합니다. bind() 함수는 client가 아닌 serv..