Webhacking 웹해킹 공부하기 :: dreamhack.io, Webhacking.kr 에서

Webhacking 을 공부하기 위한 2달 플랜을 짜서 진행중이다.

 

간단히 말하자면, 이론(dreamhack.io)->문제(Webhacking.kr) 의 2달 공부 계획이다.

 

처음엔 dreamhack.io 에 있는 웹해킹 커리큘럼을 따르고, wargame 을 풀어보려고 했으나 

dreamhack.io 에 있는 강좌만 보면 개인적으로는 지루해서 실습을 같이하는 방식으로 바꿨다.

아무래도 문제를 많이 풀어보는 것이 가장 좋은 공부인듯 싶다. (개인적 의견)

 

이 포스팅에서는 내가 이용한 사이트의 간단한 정보와 추천 공부 코스를 다뤄보도록 하겠다.

 

 

1. 이론

dreamhack.io

Introduction of Webhacking, Client-side Basic, Server-side Basic

이 세 강좌는 무조건 수강하는 것을 추천한다.

 

웹 지식에 대한 이해가 좋으면 빨리 볼 수 있을 것이다.

관련 지식이 없다면 봐도 무슨 내용인지 모를 확률이 높으므로,, 적어도 html 태그는 알고 보자.

(그렇다해도 html 태그만 알면 아주 조금의 도움이 되는 정도)

 

취약점에 대한 예시 코드가 많이 나오는데, 이에 대한 주석은 간략하다.

즉, 웹 지식을 어느 정도 알고 있다는 전제 하에 작성된 것 같다.

 

또한 Server-side 로 넘어가면 SQL 지식도 요구하니 조금이라도 알아두자.

 

개인적으로는 간단한 문제들을 풀기해는 위의 3개의 강좌만 봐도 충분하다고 생각한다.

위 3개의 강좌를 학습했담녀 이제 다음 단계인, 실습 단계로 넘어갈 수 있다.

 

(물론,, advanced 강좌를 많이 볼수록 좋다. 다만 나같은 경우는 집중이 안되어서 실습에서 필요한 경우 찾아보고 하는 식으로 공부했다. 취향에 따라 선택하기)

 

 

2. 실습

2.1 dreamhack.io

 

다양한 단계별 wargame 을 제공한다.

풀이 방식은, 문제를 선택한 다음에 접속 정보 확인하기 를 누르면 접속할 수 있는 정보를 알려준다.

 

이런 식이다.

 

그래서

host1.dreamhack.games:[PortNumber]

(즉, 이 예시에서는 host1.dreamhack.games:23938)

로 접속할 수 있다.

 

원한다면 문제 파일 다운로드로 문제를 확인하고 풀 수 있다.

 

실습을 진행할 때 2.1 을 먼저 하든 2.2 를 먼저 하든 상관 없지만, 개인적으로는 2.1 을 먼저 하는 것을 추천한다.

2.1 의 단계별로 풀어보기 에서 단계1, 단계2 에서 제공하는 간단한 web 문제들을 풀어보면 감을 잡을 수 있다.

 

무엇보다 문제 정보 를 통해 어디에 flag 가 있고, 뭘 해야 하고, 문제 이름에서 어떤 취약점을 이용해야하는지 대강 정보들을 다 주기 때문이다. 

또한 이미 푼 사람들의 댓글을 통해 간단한,,힌트를 얻을 수 있기도 하다.

 

다만, 다른 webhacking 사이트에서 제공하는 문제들은 write-up 이 많이 정리되어있는데, dreamhack wargame 에 대한 write-up 은 없다고 봐도 된다. (찾아봐도 없거나, 대부분 다 비공개 게시물이다.)

며칠동안 막혀도 해결할 방법이 크게 없다는 점이.. 단점이라고 하면 단점이겠지만? 그래도 어느 정도 틀을 제공해준다는 점에서 첫 공부로 적합하다고 생각한다.

 

 

 

2.2 Webhacking.kr

 

이 사이트는 예전에 있던 사이트가 개편된 거라서 old challenge 와 그냥 Chanllenge 가 따로 있지만, 

현재 내가 접속했을 때는 old challenge 만 있었다.

 

 

문제를 풀기 위해서는 가입을 해야 하는데, 간단하다.

로그인 상태에서 풀어야 되고, 문제 번호 옆에 적힌 숫자는 (100,200...) point 이다.

그리고 옆에 있는 아이콘이 간단한 문제 개요? 쯤 되는 것 같다. 힌트까지는 안되는듯.

 

이건 내가 푸는 것들은 순차적으로 포스팅해 나갈 것이다.

1번부터 번호 순대로 푸는 방법이 있겠지만,

나같은 초심자 점수가 낮은 것부터 도전해가는 것이 나아 보인다.

점수는 50 점부터 1000 점까지 있는데, 50 단위로 끊어져서 100, 150, 200 이렇게 목표를 잡고 풀면 좋을듯하다.

 

100점 정도까지는 소스 코드만 잘 보고 개념을 숙지하고 있다면 간단하게 풀리는 문제들로 구성되어 있으니,

꼭 풀어보고 감을 잡길 바란다.

 

(며칠을 고민해도 답이 안나온다면,, 이건 write up 도 많이 구축되어 있으니 도움을 얻을 수도 있다.)

 

 

 

3. 결론 [추천 공부 코스]

 

추천하는 대상

- 웹해킹 초보

- 웹 지식이 간단하게나마 있는 사람

 

추천 코스

1) dreamhack.io 에서 강의를 보며 웹해킹 개념을 공부한다. (필요시 구글링 필수. 이해가 더 잘된다.)

2) dreamhack.io 의 wargame 으로 webhacking 문제에 대한 감 잡기. 단계 1, 단계 2 정도만 봐도 좋음.

3) Webhacking.kr 에서 점수가 낮은 것부터 차근차근 문제를 풀어간다.