일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- codeup
- 딥러닝
- 머신러닝
- 기계학습
- 프로그래머스
- ReflectedXSS
- dsa
- injection
- 인공지능
- 알고리즘
- SQL_Injection
- RVA
- 파일구조
- 공개키
- Cross Site Scripting
- StoredXSS
- RSA
- db
- 암호학
- 심층학습
- SQL
- 웹
- 코드업
- XSS
- ImageBase
- dvwa
- 보안
- Database
- 디피헬먼
- C언어
- Today
- Total
목록정보보안 (66)
Ye0ngJae
문제 풀이 더보기 문제를 열어보면 Hidden Flag라는 문장과 함께 아주 잘생겨 보이는 로봇이 나온 사진이 나온다. 대충 FLAG 값은 숨겨져 있고, 로봇 사진은 해당 FLAG 값이 있는 그 힌트 같다. 로봇 사진이 대충 robots.txt를 가리키는 것 같아, robots.txt를 열어보았다. 그랬더니 위와 같은 결과가 나오게 되었다. 해당 내용이 특정 디렉토리를 뜻하는 것 같아 해당 디렉토리로 이동해보았다. 해당 디렉토리로 이동하니 FLAG 값이 정상적으로 출력되는 것을 알 수 있다.
개요 해시함수는 임의의 메시지를 입력받아 고정된 길이의 해시값을 출력하는 함수입니다. 현재 사용되고 있는 표준 해시함수는 160비트 내지 256비트의 해쉬값을 출력합니다. 암호 알고리즘에는 키가 사용되지만 해시 함수는 키를 사용하지 않으므로 같은 입력에 대해서는 항상 같은 출력이 나오게 됩니다. 해시는 아래 사이트에서 구하여 볼 수 있습니다. MD5 해시 : https://www.convertstring.com/ko/Hash/MD5 예) ※MD5 기준 헉 -> 556CCB365C153D147EBBB9093B44CAA0 해시 너무 재미있다 -> 00483F63EF7DAFDCA62021CC788619E7 위와 같이 입력 값이 달라도 출력 값의 길이는 항상 같은 것을 알 수 있습니다. 컴퓨터 자료구조에서의 해..
개요 암호(Cryptography)란 평문을 해독 불가능한 형태로 변환하거나 암호화된 통신문을 원래의 평문으로 변환하기 위한 모든 수학적인 원리, 수단, 방법 등을 취급하는 기술 또는 과학을 말합니다. 과거엔 정보를 감추는 기밀성만이 요구되었지만, 현대에는 기밀성뿐만 아니라 정보에 대하여 올바른 권한을 받고 있는지 확인하는 인증 및 접근통제, 정보의 변조 여부를 확인하는 무결성 등이 필요합니다. 암호는 매우 어려운 분야 같지만, 실제로는 정보보호에서의 적용을 목표로 하는 매우 실용적인 분야라고 볼 수 있습니다. 안전한 암호만을 사용하여 모든 정보를 보호할 수는 없지만, 암호 없이 정보를 보호한다는 건 불가능합니다. 암호는 보통 다음과 같은 시스템으로 쓰입니다. 송신자와 수신자가 서로 비밀리에 통신을 할 ..
개요 DVWA라는 페이지를 이용하여 간단한 Reflected XSS와 Stored XSS를 실습해 보도록 하겠습니다. (Security level LOW 기준) Reflected XSS DVWA에 존재하는 Reflected XSS 실습 페이지를 활용해 간단한 Reflected XSS 공격 실습을 하겠습니다. 실습 창에는 이름을 물어보는 폼이 나오고 있고, 이 폼에 이름을 입력하면 아래 Hello (이름)으로 출력되는 것을 알 수 있습니다. 폼 안에 아래처럼 XSS가 실행될 때 XSS가 출력되는 간단한 스크립트를 입력해보도록 하겠습니다. 위와 같이 스크립트가 실행되는 것을 알 수 있습니다. 우리는 방금 전 입력을 통해 스크립트를 실행할 수 있다는 것을 알았습니다. 이번에는 웹 페이지의 쿠키 값을 출력하는 ..
개요 SQL Injection 취약점은 웹 서버의 DB로 전송되는 SQL 쿼리 문을 임의로 조작하여, 공격자가 작성한 SQL 구문을 보내어 서버의 DB를 공격하는 기법입니다. 사용자가 입력한 데이터를 공격자는 SQL 쿼리문을 조작하여, 악의적인 SQL 구문을 보내어 데이터베이스에 저장되어 있는 다른 사용자의 개인정보 등 허가되지 않은 정보에 접근하거나 데이터를 변조할 수 있습니다. 종류 1. Error Based SQL Injection Error Based SQL Injection은 가장 대중적이고 많이 쓰이는 공격 기법입니다. Error Based SQL Injection은 가장 대중적이고 많이 쓰이는 공격 기법입니다. 위와 같은 SQL 쿼리문을 사용하는 로그인 페이지가 있다고 가정해봅시다. 클라이언..
Cross Site Scripting(XSS) 공격자가 자신이 만든 태그들을 피해자의 브라우저에서 실행시키는 것을 말합니다. 공격자가 만든 악성 스크립트에 따라 피해자는 쿠키가 변조될 수도 있고, 공격자가 만든 악성 사이트로 리다이렉트 될 수 있습니다. XSS 취약점 발생 원인 서버가 클라이언트로부터 검증되지 않은 데이터를 받아들여 웹 브라우저에서 실행하는 경우에 발생합니다. 즉, XSS는 웹 어플리케이션에 클라이언트로부터의 악의적인 데이터를 받아들일 때 발생한다고 할 수 있습니다. XSS 취약점 공격 영향 - 쿠키 변조, 탈취 - 악성코드 주소 삽입 - 페이지 변조 - 제한된 웹 사이트 접근 등 웹 브라우저에서 스크립트로 실행 가능한 공격이 가능합니다. XSS 공격 종류 Reflected XSS Ref..