목록전체 글 (361)
악성코드 분석 개념과 종류 랜섬웨어 : 파일을 암호화해 접근을 차단하고 잠금 해제를 위한 금전 요구 >빠르게 발전되는 악성코드, 감염 즉시 파일 삭제 시작 >일반적인 방법 : 합법적 전자 메일로 위장해 첨부 파일 다운로드 & 실행 유도 sha256 암호화 사용 가끔 sha1024사용하는 사람도 있음 파일 복호화가 힘듬 예전 랜섬웨어인 경우 유출된 키 캆으로 복호화 가능 트로이목마 : 신뢰할 수 있는 소프트웨어나 응용 프로그램으로 위장 >일반적인 방법 : 크랙 제품 위장해 블로그나 전자 메일에 첨부해 다운로드 & 실행 유도 > 백신에서 쉽게 볼 수 있는 악성코드 웜 : 네트워크 상의 취약점을 찾아 스스로 복제 > 자체 복제 및 확산되는 악성코드 유형 > 빠르게 확산되기 위해 별도 사람의 행동 불필요 키로거..
충북대에서 NFT관련 대회가 개최되었다. 신기한 기술이기에 관심을 가져 대회를 출전하게 되었다. 돈과 관련된 기술이기에 경제 생태계 쪽으로 아이디어를 제시하기로 했다. 대회에서도 NFT 환전을 바탕으로 시장의 경제 흐름을 발표하였다. NFT활용 아이디어 대회이지만 이러한 경제 흐름 또한 하나의 아이디어라고 생각했다. 환전이 어려운 NFT에 대해 환전소를 제작하여 거래가 활발해지면 디지털 세상에서의 경제 흐름이 더욱 부드러워질 것이라고 생각했다. 이에 대한 PPT이다. 간단한 궁굼증으로 시작된 아이디어가 가장 높은 상을 받게 되어 기분이 좋았다. 청주 방송국에서도 인터뷰를 하게되는 기회를 가졌다. https://www.gukjenews.com/news/articleView.html?idxno=2363717..
보호되어 있는 글입니다.
이벤트 핸들러란 특정 요소에서 발생하는 이벤트를 처리하기 위해 존재하는 콜백 형태의 핸들러 함수입니다. 따라서 이벤트 핸들러 내에 XSS 공격 코드를 삽입해두면 해당 이벤트가 발생했을 때 우리의 XSS 공격 코드가 실행하게 됩니다. 자주 사용되는 이벤트 핸들러 속성으로 onload 와 onerror, onfocus가 있습니다. 해당 태그가 요청하는 데이터를 로드한 후에 실행, 만약 로드에 실패했다면 실행되지 않습니다. 해당 태그가 요청하는 데이터를 로드하는데 실패할 시 실행, 만약 로드에 성공했다면 실행되지 않습니다. input 태그에 커서를 클릭하여 포커스가 되면 실행되는 이벤트 핸들러입니다. 문자열 치환 XSS 키워드를 필터링할 때 의심되는 구문을 거부하는 대신에 단순히 치환 혹은 제거하는 방식의 필..
웹 해킹 로드맵 1page의 마지막 문제이다 웹 해킹의 경험이 없어 이번 문제는 굉장히 어려웠다. #!/usr/bin/env python3 from flask import Flask, request import os app = Flask(__name__) @app.route('/' , methods=['GET']) def index(): cmd = request.args.get('cmd', '') if not cmd: return "?cmd=[cmd]" if request.method == 'GET': '' else: os.system(cmd) return cmd app.run(host='0.0.0.0', port=8000) 코드는 굉장히 짧다. GET메소드가 아닐경우 system함수가 먹힌다. 그렇다면..
서비스 간 HTTP 통신이 이뤄질 때 요청 내에 이용자의 입력값이 포함될 수 있습니다. 이용자의 입력값으로 포함되면 개발자가 의도하지 않은 요청이 전송될 수 있습니다. SSRF는 웹 서비스의 요청을 변조하는 쥐약점으로, 브라우저가 변조된 요청을 보내는 CSRF와는 다르게 웹 서비스의 권한으로 변조된 요청을 보낼 수 있습니다. 웹 서비스는 외부에서 접근할 수 없는 내부망의 기능을 사용할 때가 있습니다. 예를 들어 백오피스 서비스가 있습니다. 백오피스 서비스는 관리자 페이지라고도 불리며, 이용자의 행위가 의심스러울 때 해당 계정을 정지시키거나 삭제하는 등 관리자만이 수행할 수 있는 모든 기능을 구현한 서비스입니다. 이러한 서비스는 관리자만 이용할 수 있어야 하기 때문에 외부에서 접근할 수 없는 내부망에 위치..
SQL Injection은 SQL을 이해하고 있다면, 모든 RDBMS에 대해 공격을 수행할 수 있습니다. 그러나 NoSQL은 사용하는 DBMS에 따라 요청 방식과 구조가 다르기 때문에 각각의 DBMS에 대해 이해하고 있어야 합니다. 이번 NoSQL은 MongoDB만 다루겠습니다. SQL은 저장하는 데이터의 자료형으로 문자열, 정수, 날짜, 실수 등을 사용할 수 있습니다. MongoDB는 이 외에도 오브젝트, 배열 타입을 사용할 수 있습니다. 예제를 통해 알아보겠습니다. const express = require('express'); const app = express(); const mongoose = require('mongoose'); const db = mongoose.connection; mong..
File Upload Vulnerability 공격자의 파일을 웹 서비스의 파일 시스템에 업로드하는 과정에서 발생하는 보안 취약점입니다. 파일 시스템 상 임의 경로에 원하는 파일을 업로드하거나 악성 확장자를 갖는 파일을 업로드할 수 있을 때 발생합니다. 원하는 시스템 커맨드를 실행하는 원격 코드 실행 취약점을 유발할 수 있습니다. File Download Vulnerability 웹 서비스의 파일 시스템에 존재하는 파일을 다운로드 하는 과정에서 발생하는 보안 취약점입니다. 공격자는 웹 서비스의 파일 시스템에 존재하는 임의 파일을 다운로드할 수 있습니다. 설정 파일, 패스워드 파일, 데이터 베이스 백업 본 등을 다운로드 하여 민감한 정보를 탈취할 수 있고 2차 공격을 수행할 수 있습니다. from flas..