Jsecurity

HTML Injection 이란? 사용자가 연결요청한 페이지에 악의적인 HTML 태그를 삽입하여 의도하지 않은 내용을 보게 하거나 악의적인 사이트에 연결되도록 하는 공격기법 HTML Injection - Reflected (GET) HTML 태그로 악성 파일을 다운로드하도록 링크 또는 이미지를 URL에 삽입하여 악의적인 사이트로 실행되게 하는 공격 HTML Injection - Reflected (GET) / 문제 난이도 : Low ㅇ 아이디와 패스워드를 임의로 bee, box로 입력해서 burp suite 데이터 확인 ㅇ 입력받는 변수 ID = firstname, PW = lastname ㅇ 난이도 Low는 URL 인코딩 없이 그대로 입력값이 삽입됨 ㅇ 그렇다면, 내용을 응용하여 위대한 개츠비 이미지태..

간만에 블로깅을 하면서.. 웹 취약점 분석부터 시작해서 초심으로 공부하고자 합니다! 오늘 설치할 웹 모의해킹 실습 도구 비박스(bee-box) bWAPP란? bWAPP 또는 버그가 있는 웹 애플리케이션은 의도적으로 안전하지 않은 자유 및 오픈 소스 웹 애플리케이션입니다. 보안 마니아, 개발자, 학생이 웹 취약점을 발견하고 예방할 수 있도록 돕는다. bWAPP는 성공적인 침투 테스트와 윤리적인 해킹 프로젝트를 수행할 수 있도록 준비됨. 무엇이 bWAPP를 그렇게 독특하게 만드는가? 흠, 그것은 100개가 넘는 웹 취약점을 가지고 있음 (약 300개 정도) OWASP Top 10 프로젝트의 모든 위험을 포함하여 알려진 모든 주요 웹 버그를 다룬다. bWAPP는 MySQL 데이터베이스를 사용하는 PHP 응용 ..

암호화폐? 블록체인? 암호화폐 (cryptocurrency) 암호화폐(暗號貨幣, cryptocurrency)는 암호 기술을 이용하여 만든 디지털 화폐이다. 암호화폐는 네트워크로 연결된 인터넷 공간에서 암호화된 데이터 형태로 사용된다. (누구나 자유롭게 설계, 발행할 수 있음) 대부분의 암호화폐는 탈중앙화된 피투피(P2P) 방식의 블록체인(blockchain) 기술을 이용하여 가치를 저장·전송한다. 암호화폐는 해시(hash)라는 암호화 기술을 이용하여 만든 전자화폐의 일종으로서, 가치를 보증하는 중앙은행이 없이도 거래의 신뢰성과 안전성을 보장받을 수 있다. 블록체인 (Block chain) 블록체인(blockchain)은 분산 컴퓨팅 기술 기반의 데이터 위변조 방지 기술이며, 비즈니스 네트워크에서 트랜잭션..

(11월 9일) 14회 정보보안 산업기사 실기를 응시하여 12월 6일에 결과 발표가 나왔습니다. 다행히 "합격"통보를 받았습니다. 평균적으로 정보보안 산업기사&기사 시험자체 합격률이 약 10% 안팎이라 그만큼 자격증 취득에 신경을 많이 쓴 자격증입니다. 확실한 것은, 정보처리 산업기사 자격증과는 비교되지 않는 난이도를 자랑하는 시험입니다. 자격증 신청 후 약 일주일 정도 지난 뒤, 등기우편으로 배달되어 수령합니다. 저는 위의 정보보안 기사 책으로 학습하였는데요, 실기 학습하면서 이 책이 정말 많은 도움을 줬던 것 같습니다. (하지만 시험은 정말 랜덤 범위인지라 얼마만큼 많이 봐야 하는지는 알아서...) 다만, 1 회독은 필수이며 2 회독부터는 눈으로 보며 다시 학습하였습니다. 2020년도 정보보안 기사 ..

스레드란 - 스레드는 하나의 프로세스 내에서 실행되는 작업의 단위를 말하며, 하나의 운영 체계에서 여러 개의 프로세스가 동시에 실행되는 환경이 멀티태스킹이고, 하나의 프로세스 내에서 다수의 스레드가 동시에 수행되는 것이 멀티스레딩이다. 핸들러란 - 안드로이드에서는 화면UI에 접근하는 것을 막아두고 실행 시 생성되는 메인 스레드를 통해서만 화면 UI를 변경할 수 있기 때문에 핸들러를 통해서 메인 스레드에 접근하여 UI를 수정한다. - 핸들러는 메시지처리 방식과 Runable객체 실행방식이 있다. 안드로이드 핸들러 (예제) 메시지 처리 방식 public class MainActivity extends AppCompatActivity { Button btnStart; TextView tvResult; int ..

파일 권한 ls -al 명령 또는 stat [File name] 명령을 실행하면 파일의 자세하 정보를 볼 수 있는데, 위의 그림처럼 가장 왼쪽에 파일 접근 권한이 나타난다. 예) d rwx r-x --- 1 필드 : 타입 - 인 경우 : 파일 d 인 경우 : 디렉터리 | 인 경우 : 다른 파일을 가리키는 링크 p 인 경우 : pipe. 두 개의 프로그램을 연결하는 파이프 파일. b 인 경우 : block device. 블록 단위로 하드웨어와 반응하는 파일 c 인 경우 : character device. 스트림 단위로 하드웨어와 반응하는 파일 2~4 필드 : 소유주 (USER) 권한 5~7 필드 : 그룹 (Group) 권한 8~10 필드 : 나머지 (Others) 권한 권한을 나타내는 알파벳 r : 읽기 ..

[시나리오] X 회사의 재정 정보를 훔치기 위해서 IU는 비밀리에 직장을 구했다. 그녀는 CFO의 컴퓨터를 공격하기로 결정한 후 사회 공학적 방법으로 악의적인 악성코드를 자신의 컴퓨터로 삽입하기로 결정했다. 그녀는 CFO가 퇴근할 때 컴퓨터를 끄지 않는다는 것을 알아냈다. CFO가 사무실에서 나간 후, 그녀는 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다. 그녀는 설치된 응용 프로그램을 확인해서 파일에서 정보를 찾을 수 있었다. 모든 추적을 제거하기 위해 그녀는 악성코드, 이벤트 로그 및 최근 파일 목록을 지웠다. X 회사는 적절한 조치를 취하기 위해 그녀가 어떤 정보를 훔쳤는지 밝혀야 한다. 이 파일들은 CFO의 컴퓨터에서 공격받은 파일들이다. 그녀가 훔친 파일의 전체 경로와 파일의 크..

디지털 포렌식 워크샵에 다녀왔습니다. 워크샵 장소가 생각보다 멀어서 고단했지만, 포렌식에 대해서 폭넓은 지식을 햠양할 수 있었던 좋은 시간이였습니다. 워크샵 장소: The K Hotel 양재 시민의숲역에서 나와 길을 쭉 걷다보면 큰 호텔이 하나가 떡하니 나타납니다. 워크숍 내용들이 나에겐 너무 이해하기 어려웠던 부분이 많았습니다. 그중에서 인상 깊었던 내용은 첫째날, 한신대학교에서 OOXML office forensic에 대해서 연구하신 내용은 디지털 포렌식 챌린지 대회를 하면서 공부를 했던 내용이라 인상깊게 들었습니다. 2020년도 디지털포렌식연구회의 계획입니다. 멀리서 촬영하여 화질이 나쁘네요.. 내년에도 디지털 포렌식 챌린지를 개최 하니 많은 참여 부탁드립니다!

[EnCase Image Mount] 대상 Evidence 이미지 파일 선택 > 우클릭 > Device > Share > Mount as Emulated Disk 선택 이미지(E01) 파일이 volume: F로 마운트 된다. [EnCase Image UnMount] [Physical Disk Emulator] 더블클릭

[ 문제 파일 Download ] 주어진 문제 파일에 확장자가 존재하지 않기 때문에 어떤 유형의 파일인지 알 수 없다. 그렇기 때문에 Linux의 file 명령어를 사용하여 파일의 확장자를 확인한다. 위의 그림과 같이 문제 파일이 XZ 확장자를 가진 압축파일임을 알 수 있다. 파일명의 확장자를 .xz 로 변경한 뒤 unxz 명령어를 사용하여 압축을 풀어 확인한다. 압축을 해제하면 다시 한번 똑같은 파일이 나타난다. 한번더 file 명령어를 사용하여 파일의 유형을 확인한다. 파일 확장자를 확인해보니 7zip으로 압축된 파일인 것을 알 수 있다. 데이터를 windows 운영체제로 옮겨 분석해보자. 압축파일을 실행하면 위의 그림과 같이 16개의 파일들이 압축되어 있다. 그 중 특이한 점은 문제 파일로 제공된 ..