지식 채우는 블로그

Injection 공격은 웹 애플리케이션의 취약점을 악용하여 공격자가 임의의 코드를 삽입하여 데이터베이스를 조작하거나 시스템을 손상시키는 공격입니다. OWASP Top10에 항상 올라오는 공격으로 해외보고서나 우리나라 보안 보고서를 보면 항상 상위권을 차지하는 위험도가 높은 공격입니다. 아래는 대표적인 Injection 공격 예시입니다. SQL injection SQL injection 공격은 웹 애플리케이션이 사용자 입력을 제대로 검증하지 않을 때 발생합니다. 공격자는 악의적인 SQL 코드를 입력하여 데이터베이스에 접근하거나 데이터를 조작할 수 있습니다. Blind SQL injection Blind SQL injection 공은 공격자가 데이터베이스의 정보를 얻기 위해 특정 조건을 충족하는 데이터를 ..

책을 보면서 실습을 진행하기 전에 책에서 사용하는 많은 도구들에 대해 정리하는 페이지를 만들었습니다. 직접 사용해보면 내용들이 추가될 예정입니다. Metasplitable OWASP-ZAP Security Onion Metasploitable 정보 보안 전문가들을 위한 취약점 학습 및 침투 테스트 연습용 가상 머신입니다. 다양한 운영 체제와 서비스에 의도적으로 취약점이 설치되어 있어 공격 시나리오를 실제 환경과 유사하게 경험할 수 있도록 합니다. 책에서는 여기를 기반으로 모의해킹과 침해대응을 진행합니다. OWASP-ZAP 오픈 소스 웹 애플리케이션 보안 스캐너로, 초보자부터 전문가까지 모두 사용할 수 있도록 설계되었습니다. 다양한 기능을 통해 웹 애플리케이션의 취약점을 자동으로 스캔하고, 수동으로 공격을..

위의 도구로 실습을 진행하기 전에! 웹이랑 네트워크에 관한 기초적인 내용을 한 번 다잡고 가는 게 좋다는 생각을 해서 정말 간단하게 만들어봤습니다. (이거 모르면서 웹 공부한다 하면 안 될 것 같은 단어 위주로...) 해당 단어의 내용만 보고 싶을 경우 단어를 클릭하면 이동합니다. Web-related Information Security Words Web Web Site/Web page HTTP/HTTPS URI/URL OWASP Top 10 Network-related Information Security Words Network OSI 7-Layer NAT IDS/IPS FTP Web-related Information Security Words 1. Web 웹과 관련된 공부를 하는데 웹이 뭔지 설..

한빛미디어의 을 요약 정리했습니다. 나를 돌이켜보고 곰곰 고민해 봤을 때 나는 도구들을 많이 써보지 않고 이론만 알거나 오히려 개발을 더 많이 해봤다 생각이 들어서 회사에서 우연히 발견한 책을 기준으로 공부하기로 계획했습니다. 책의 이름은 "오픈소스 도구를 활용한 웹 모의해킹과 침해대응"입니다. 링크 : https://www.aladin.co.kr/shop/wproduct.aspx?ISBN=8968488541&start=pnaver_02 책의 내용을 보고 공부를 진행하긴 할 지만 책의 내용을 시작하기에 앞서 제가 부족한 지식을 먼저 이해하고 나서 본격적으로 진행할 생각입니다. 이 글에는 앞으로 책과 관련된 게시글을 작성할 때마다 아래에 링크를 달아둘 예정입니다:) #1 웹, 네트워크 기초 이론 공부 ht..

현재 인턴에 적응하고 있는 저는 지난 토요일에 정보처리기사 시험을 봤습니다! 이전 게시글에 적힌 날짜를 보니 꽤 안적었는데...;; 인턴에 적응도 하고 집에 오면 정처기 공부를 짬짬히 하기위해 노력하다보니 티스토리에 따로 게시물을 올리기 어려웠습니다. 아마 내년 시험을 봐야 취득할 것 같지만... 이미 지난 시험 생각해봐야 뭐하겠습니까 앞으로 공부하는 내용을 다시 틈틈히 올리겠습니다. 근데 지금 졸업작품 막바지라서 조금 늦을 수도 있어요...

한달동안의 프로젝트중 첫번째! 우선 Docker 설치를 합니다. 아래 사이트에 들어가서 도커를 설치합니다. https://docs.docker.com/desktop/install/windows-install/ Install Docker Desktop on Windows docs.docker.com 설치를 하고 exe파일을 실행하면 자동으로 진행됩니. 아래 사진이 뜨면 Ok를 눌러줍니다. (체크박스는 자유) 이후 언패킹이 진행됩니다. 다끝나면 컴퓨터를 재시작을 하라하고 재시작을 하면 도커가 열립니다. 아래 사진에서 Accept를 눌러야하는데 혹시 영어 뜻이 궁금하신 분들을 위해 아래에 따로 작성했습니다. 더보기 영문 내용 " By selecting accept, you agree to the Subscri..

흠.... 7월달에 바쁘다 보니 공개 글을 하나도 안 쓴 채로 벌써 7월이 다 지나가고 있단 사실을 알게 되어서... 뭘 쓸까 하다가 한 달간 한 일과 앞으로 할 일을 쓸까 합니다. 우선! 현재 교외 근로를 우체국에서 진행 중입니다. 주5일 풀타임을 하고 있는데요. 바쁠 땐 진짜 엄청 바쁘고 쉴 땐 말해 보거나 다른 걸 합니다. (쌀이 지인짜 크기 대비 무겁더라고요….)제가 있는 지역이 주변에 밭이 많아 그런지 택배에 농수산물 비중이 꽤 됩니다. 여기 계속 일하면 아마 제철 농수산물은 다 알 수 있을 것 같아요. (7월은 감자...) 말해보카는 열심히 하고 있습니다. 저번 주에 자격증 시험 때문에 많이 못 해서 리그가 처음으로 떨어졌지만... 다시 열심히 해서 순위를 높일 생각입니다. 말해보카를 해보면서..

오랜만에 적는당 첫번째는 여기에 https://snorlax1224.tistory.com/17 익스플로잇 (Exploit) 컴퓨터 시스템, 네트워크, S/W 등의 보안 취약점을 악용해 불법적인 행위를 수행하는 공격 기법이다. 예시로는 Buffer OverFlow, SQL Injection, XSS등 다양한 보안 취약점이 있다. Spectre CPU의 예측 실행 기능을 이용하여 메모리 데이터를 탈취하는 취약점이다. AMD, ARM, Intel과 같은 다양한 프로세서에서 발견되었으며, 프로세서에 있는 예측 실행 기능과 지연된 로드 기능을 악용한다. CSRF 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹 사이트에 요청하게 하는 공격 XSS와 CSRF의 차이점 XSS..

아직 방학은 아니지만 머리 아픈 건 다 끝나서.... 방학중에 뭘 할지 고민 중입니다. 책을 따라 하면서 모의 해킹 공부도 하고 있습니다. 다른 것처럼 짧은 시간 집중이 아닌 긴 시간 집중이 필요한 만큼, 매일매일은 아니지만 일주일에 4일 이상을 볼 생각입니다. 아 책만 하는 건 아니고 다른 공부할 만한 게 있나 찾는있는 중이라.... 모의해킹 공부를 3일 이상은 하겠다는 다짐으로 보면 됩니다. 말해보카는 지난 몇 주간 꾸준히 하고 있습니다. 꾸준히 접하다 보니 영어 자체에 대한 관심도가 높아진 것 같아 만족 중입니다. 점진적으로 영어 실력이 늘 것이라고 예상합니다. 요즘은 독서를 습관으로 만들고 싶어서 밤 11시~12시는 독서 시간으로 만들 생각으로 책을 읽으려고 합니다. 군주론을 읽고 있습니다. 사실..

칼리에 포함되어 있는 Burp Suite에 있는 공동체 에디션 (Community Edition)기준으로 작성했습니다. 칼리에는 Burp Suite가 이미 설치 되어있기에 상단 메뉴에서 Burp Suite 검색해서 들어갑니다. Burp Suite를 실행시키면 아래와 같은 창이 나오는데 여기서 next를 클릭합니다. 이후엔 Start Burp를 눌러 실행합니다. (위에 선택된건 기본 설정을 사용하겠다는 뜻입니다.) 실행이후 위에서 Dashboard를 누르면 아래와 같은 창이 나오는데 Issue Activity는 유료 버전에만 사용가능하기에 X표를 눌러서 없애는게 보기에 편하니까 지웁니다. Proxy탭에서 Options을 눌러서 아래 체크박스를 꼭 체크해줍니다. 체크 박스 뜻 : 아래 규칙에 따라 요청들을 ..