2023 호남 사이버 컨퍼런스 웹 취약점 경진대회

• 예선
  • 호남 사이버 컨퍼런스 웹 취약점 예선전 진행
  • 2023/09/09 10:00 ~ 13:00 진행
  • 디스코드 온라인 예선전 진행
  • 9시 55분 웹 사이트 배포 및 10:00 정각부터 시작
  진행 상황
  • 현재 운영 중인 사이트를 복사하여 예비 사이트로 진행한 것으로 보임
    • 무슨 역사 박물관 홈페이지
  • 웹 사이트 공개 후 SQL injection, XSS을 우선적으로 실행
  • 시작 5분 만에 서버 터짐
  • IP 밴으로 인한 원활한 예선 진행 불가
  문제 확인
  • 사전에 화이트 리스트를 받았지만 적용 여부 미확인
  • SQL injection을 시도하면 서버에서 자체적으로 IP 밴을 시키는 것 같음
  • IP 추가 적용을 하였으나 SQL injection 시도 시 밴
  느낀 점
  • 정보 보호 동아리 ‘HackerLogin’에 들어와서 web hacking을 처음 접한 뒤 나가는 첫 대회인 만큼 많이 긴장하고 설렜다.
  • 사실상 웹 페이지 제작도 처음이었고 web hacking기술도 어깨 너머로 배운 완전 초보 중에 초보였는데 일단 대회를 나가보자! 라는 마인드로 참여
  • 하지만 기대와는 다르게 페이지의 운영이 원활하지 않았고 나의 실력을 테스트 해봄과 동시에 문제를 접해볼 기회가 현저히 적었음 ⇒ 사실상 없었다고 해도 무방한 것 같다.
  결과
  • 예정 시간보다 대회를 일찍 당겨서 시작하였으나, IP 밴 문제가 해결되지 않아 모든 팀들이 딜레이 되는 상황이 연출
  • 결국 조장들과 운영진의 회의를 거쳐 연장 진행을 하지 않고 그대로 마무리
  • 운영진 측에서 예선 팀 전체 본선 진출의 통보

---

• 본선
  • 호남 사이버 컨퍼런스 웹 취약점 본선 진행
  • 2023/09/23 10:00 ~ 13:00 진행
  • 목포대학교 남악캠퍼스에서 진행
  • 9시 55분 웹 사이트 배포 및 10:00 정각부터 시작
  진행 상황
  • 현재 운영 중인 사이트를 복사하여 예비 사이트로 진행한 것으로 보임
  • 웹 사이트 공개 후 SQL injection, XSS을 우선적으로 실행
  • Hypers web hacking 강의에서 배웠던 내용을 바탕으로 취약점 분석
    • 해당 취약점 4개 찾음
  • 페이지 전체를 둘러보며 취약점이 있을만한 페이지 목록 도출
  • 취약한 페이지에 XSS, 인증 우회, 파라미터 변조 공격
  문제 확인
  • 회원 가입을 해야 하지만 인증이 되지 않음
  • 운영진 측에서 계정을 만들어 배포
  느낀 점
  • ‘영민이와 아이들’의 팀으로써 3인 1조였는데 해당 대회가 진행되는 날 팀원 한명이 아픈 관계로 불참하여 불리한 조건으로 실시
  • Hypers에서 진행한 web hacking 강의를 들었던 것이 많은 도움이 됨 ⇒ 취약점 2개 * 2개의 페이지 에서 진행되어 4개 발견, 기분이 좋았음
  • 같은 장소에 모여 대회를 진행한다는 기분이 정말 설레고 신기했으며 취약점을 찾아가는 재미가 있는 것 같았음
  • 왠지 될 것 같으면서도 안되는 것이 참 아쉬웠고, 공부를 더 열심히 하고 참여했다면 좋은 성적을 거두지 않았을까 하는 아쉬움이 들었고, 공부에 대한 자극과 대회 참여에 대한 의지가 생기는 계기가 된 것 같음
  결과
  • 초반에 잘 하다가 후반부에 막혀 불안하였지만 결국 대회 마무리를 잘함
  • 대회 결과는 장려상으로 6등
  • 처음 나간 대회를 운좋게 수상하여 기분이 정말 좋았음

결과

• 장려상 수상