8割解けるCTF「WEST-SEC」

セキュリティ初心者の方でも楽しめるゲーム形式のセキュリティイベント。CTFや勉強会の依頼があればご相談ください。

アプリケーション

1.HTTP

(1)HTTPプロトコルの概要

・HTTPリクエストとレスポンス
・HTTPヘッダ
これらに関しては、以下がわかりやすいです。
https://itsakura.com/network-http-get-post
・GETメソッドとPOSTメソッド

(2)Cookieとセッション管理

 ・PHPプログラムによるセッション管理
 ・Cookieを見てみよう

2.データベース構築

(1)MySQL
#MySQLにログイン
mysql -u root -p
#ここで、PWを入力

#DB作成
create database db1;
use db1;

#テーブル作成
CREATE TABLE `users` (
`id` int(10) NOT NULL AUTO_INCREMENT,
`user_id` varchar(30) NOT NULL,
`name` varchar(30) NOT NULL,
`passwd` varchar(30) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=latin1;

#レコード作成
INSERT INTO `users` VALUES (1,'user1','user1','u1pass!#');
INSERT INTO `users` VALUES (2,'user2','user2','u2pass!#');
INSERT INTO `users` VALUES (3,'user3','user3','u3pass!#');

#作成したテーブルの確認
select * from users;

#MySQLからログアウト
quit

3.SQLインジェクション

以下のサイトが、具体的なソースコードを含めて記載してあります。SQLインジェクションの仕組みを理解するために、ご自身で構築してみるといいと思います。
qiita.com