본문 바로가기

분류 전체보기

 (56)
[IGLOO] 보이지 않는 전쟁, 해킹 그룹이 만드는 새로운 전선 오늘날 사이버 공격은 더 이상 개인 해커의 일탈이나 단순 범죄 수준이 아니라, 국가 단위의 전략과 연결된 사이버 전쟁의 양상으로 확대되고 있다. 세계 곳곳에서 활동하는 조직적인 해킹 그룹들은 기업의 정보 자산뿐만 아니라 금융 시스템, 사회 인프라, 국가 안보까지 위협하고 있으며, 국제 정세에도 직접적인 영향을 미치고 있다.대표적인 국가 배후 해킹 그룹으로는 러시아의 Fancy Bear(APT28), 북한의 Lazarus Group, 중국의 Salt Typhoon이 있다. 1. Fancy Bear (APT28) – 러시아Fancy Bear는 러시아 정부와 연계된 해킹 그룹으로, 주로 정부 기관, 군사 조직, 언론사를 대상으로 스피어 피싱과 제로데이 공격을 수행한다.2016년 미국 대선 당시 민주당 전국위원..
rev-basic-0 - 리버싱 추가 공부 이 문제 리버싱(역공학)실행 파일을 분석해 특정 입력값을 찾아내기. - 흐름 프로그램은 사용자로부터 문자열을 입력받는다.입력 문자열은 검증 함수(sub_140001000)로 전달된다.검증 함수는 입력값을 문자열 상수 Compar3_the_str1ng와 비교하여 일치 여부를 판단한다.비교 결과가 일치하면 correct, 불일치하면 wrong을 출력한다 - IDA 툴 사용법 F5 (디컴파일)X (xref)Strings (Shift+F12)변수 이름 바꾸기 (N)구조체 만들기Graph view (Space)
[드림핵] rev-basic-0 - 리버싱 문제 파일. 실행 파일. 동적 분석하려니 강제 종료됨. 정적 분석 IDA 활용 이 그래프를 보면 어떤 input 값에 따라 correct 또는 wrong 으로 출력된다는 거 같음. F5눌러 디컴파일 해보면sub_140001190 함수로 input 을 출력받고,sub_1400011F0 함수로 입력값을 받음.그리고 입력받은 값을 sub_140001000 함수로 넣어서 correct 또는 wrong이 출력되는 거 같음 sub_140001000 함수를 더블클릭해서 들어가보면입력값을 Compar3_the_str1ng와 비교한다고 함. 이렇게 Compar3_the_str1ng 이라는 플래그 값 나옴.
[IGLOO] 정보보호 컨설팅(보안컨설팅)이란 무엇인가요? [보안 101] 정보보호 컨설팅(보안컨설팅)이란 무엇인가요? - Security & Intelligence 이글루코퍼레이션 [보안 101] 정보보호 컨설팅(보안컨설팅)이란 무엇인가요?[보안 101] 더보기 ▶ 매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념www.igloo.co.kr - 정보보호 컨설팅이란?조직의 자산/업무/기술 환경에 대한 위렵과 취약점 식별을 토대로, 조직에 부합하는 거버넌그와 프로세스, 기술과 인력 배치 방안을 설계하고 구현하는 전문 서비스입니다. 왜 지금 정보보호 컨설팅인가? 고도화된 사이버 위협이 조직의 흥망을 좌우할 수 있게 된 지금,정보보호 컨설팅은 조직의..
[웹 개발자를 위한 웹 보안] 11장.권한 11장. 권한 1. 권한 상승악의적인 사용자가 다른 사용자의 권한을 남용한 것. 권한 상승 공격 - 수직적 확대: 공격자가 자신의 계정보다 더 넓은 권한을 가진 계정에 액세스할 수 있음.- 수평적 확대: 공격자가 자신의 계정과 유사한 권한을 가진 다른 계정에 액세스. 2. 접근 제어 구현각 사용자에게 올바른 권한이 적용되도록 사이트를 보호하는 프로세스. 접근 제어 전략- 인증- 권한 부여- 권한 접근 제어 전략의 세 단계 (1) 인증 모델 설계권한 부여 규칙을 모델링하는 방법a.접근 제어 목록: 시스템의 각 개체에 권한 목록을 첨부해 각 사용자 또는 계정이 개체에 수행할 수 있는 작업을 지정하는 간단한 모델링 권한 부여 방법.예) 리눅스 파일 시스템b. 화이트리스트 및 블랙리스트: 모델 인증을 수행..
[IGLOO] 위협 인텔리전스란 무엇인가요? [보안 101] 위협 인텔리전스란 무엇인가요? - Security & Intelligence 이글루코퍼레이션 [보안 101] 위협 인텔리전스란 무엇인가요?[보안 101] 더보기 ▶ 매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념www.igloo.co.kr 1. 위협 인텔리전스의 역할한 글로벌 금융사는 새벽에 다크웹에서 자사 고객 정보가 거래된다는 경보를 받았는데, 분석 결과, 내부 시스템 침입 흔적은 없었지만 외부 결제 대행사와 연동된 API의 취약점을 통해 인증 정보가 유출된 것으로 드러남.이후 회사는 비밀번호 강제 초기화, 다중 인증 확대, 의심 로그인 차단 규칙 강화, 수사기관 ..
[점프투장고] 3-1 ~ 3-4 03-1 내비게이션 기능 추가하기 실습1. 내비게이션바 추가하기로그인 링크 추가함 부트스트랩 내비게이션바의 숨겨진 기능-> 아무 페이지 점속 후 화면 너비 줄이면 로그인 링크는 사라져있고, 햄버거 메뉴 버튼 생김. (반응형 웹) 부트스트랩에 필요한 파일 추가함 - 제이쿼리 햄버거 메뉴 버튼 누르면 로그인 링크 나타남 실습2. include 기능으로 내비게이션바 추가해 보기navbar.html 파일은 base.html 파일에 삽입. 03-2 게시판 페이징 기능 추가하기실습1. 임시 질문 데이터 300개 생성하기 (mysite) D:\projects\mysite>python manage.py shell장고 셸 실행 테스트 데이터 300개 만듦. 실습2. 페이징 기능 살짝 구현해보기page=reques..
[웹 개발자를 위한 웹 보안] 10장 10장. 세션 하이재킹 1. 세션 하이재킹이란로그인 등으로 서버가 부여한 세션(사용자 신분 증명)을 도둑맞아 공격자가 그 사용자의 권한으로 사이트를 조작하는 공격이다. 결과적으로 공격자는 계정 탈취, 금전 이체, 개인정보 변경 등을 수행할 수 있다."세션 토큰(세션 ID)를 빼앗겼느냐" 2. 세션 작동 방식웹은 상태를 기억하지 않기 때문에 서버는 사용자 구분을 위해 세션ID를 발급하고 서버(세션 저장소)에 사용자 정보를 저장한다. 이 세션 ID는 보통 쿠키로 브라우저에 전달되고, 브라우저는 이후 요청마다 쿠키를 자동 전송해서 로그인 상태를 유지한다. 서버 발급 -> 세션 저장 -> Set-Cookie 전달 -> 브라우저가 요청에 쿠키 첨부 -> 서버가 세션 조회 3. 공격자가 세션을 가로채는 방법대표적..
점프 투 장고 2-8 ~ 2-10 2-8 부트스트랩으로 더 쉽게 화면 꾸미기 실습1. 파이보에 부트스트랩 적용하기부트스트랩 이용.부트스트랩이 제공하는 클래스 : container, my-3, thread-dark 등질문, 답변 -> 부트스트랩의 card 컴포넌트질문 내용, 답변 내용 -> style 속성으로 white-space: pre-line 적용하여 줄바꿈 2-9 표준 HTML과 템플릿 상속 사용해 보기 실습1. 템플릿을 표준 HTML 구조로 바꾸기템플릿 파일의 기본 틀 작성질문 목록 템플릿 수정질문 상세 템플릿 수정기존 스타일 파일 내용 비움 2-10 질문 등록 기능 만들기 실습1. 질문 등록 기능 만들기 실습2. 답변 등록 기능에 장고 폼 적용마지막 context가 아니라 content로 해야하는듯하다답변 내용 없으면 오류까..
SQL 인젝션 추가 공부 이런 코드문은 userid나 userpassword에 악의적인 문자열이 들어오면 그대로 SQL 문에 삽입되기 때문에, 공격자가 비밀번호 없이 로그인하거나 DB를 조작할 수 있다. SQL에서 --(또는 DB에 따라 #)는 주석(comment) 을 시작하는 표시입니다.주석이 시작되면 그 줄의 나머지 내용은 DB가 무시하는데, 공격자가 이걸 이용하면 AND userpassword="..." 같은 조건을 주석 처리해서 비밀번호 검사 자체를 없애버릴 수 있습니다. 위의 코드에서 값은 "(큰따옴표)로 감싸여 있으니, 공격자가 userid에 다음처럼 넣을 수 있습니다.그러면 쿼리가 이렇게 됩니다-- 뒤는 주석이므로 DB가 무시해서 실제로 실행되는 부분은 다음과 같습니다.select * from users where ..

티스토리툴바