Security Study82

• 

  취약점 점검하다가 신기방기한 것을 보았다.!!!! 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 업무를 하면서 이것저것 많이하다보니 이번에 조금 신기하고 재밌는 것을 알았다. 다른 사람들은 알수도있는데 개인적으로는 나름 흥미로워서 블로그로 작성해본다. 뭐 대단한건 아니지만 html사용할때 python을 사용할 수있도록 하는 pyscript이다. https://pyscript.net/ Pyscript.net Run Python code in your HTML. pyscript.net 기본적으로 php,.. Security Study/Web 2023. 10. 9.

• 

  HTTP Method 관련하여 알아가는 것 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 요즘 업무를 하면서 취약점 점검을 많이하고 있다. 이것저것 하다보니 그냥 개념정리로 작성한다. 메소드에는 기본적으로 GET, POST, OPTIONS, HEAD, DELETE, PUT 가 있다. 뭐 가끔 TRACE 도 사용할때가 있다. 주요정보통신기반시설 가이드라인과 같은 항목엔 불필요한 메소드를 없애라고 권고를 하고있다. 기본적으로 GET, POST만 열어두는 곳이 많은데 가끔 메소드가 모두 열려있는 경.. Security Study/Web 2023. 8. 9.

• [웹취약점] XSS 하다보니... 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 홍보글 여자옷은 늘봄스튜디오 https://always-spring.co.kr/ 늘봄스튜디오 당신의 삶에 언제나 봄처럼 활기참을 더해주는 늘봄스튜디오 always-spring.co.kr 최근에 웹취약점 관련 업무를 하다가 찾은 내용을 정리하려고 한다. 먼저 XSS의 경우 다양한 공격이 가능하고 다양한 우회도 가능하다. 그만큼 막는방법 또한 다양하다. 흔히 github에서 xss cheatsheet 만 검색.. Security Study/Web 2023. 7. 20.

• 

  IOS 앱 취약점 점검 2편 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 홍보글 여성 옷은 늘봄 스튜디오에서!!! https://always-spring.co.kr/ 늘봄스튜디오 당신의 삶에 언제나 봄처럼 활기참을 더해주는 늘봄스튜디오 always-spring.co.kr 2023.05.23 - [Security Study/System] - IOS 앱 취약점 점검 IOS 앱 취약점 점검 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을.. Security Study/System 2023. 5. 30.

• IOS 앱 취약점 점검 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 홍보글 https://always-spring.co.kr/ 늘봄스튜디오 당신의 삶에 언제나 봄처럼 활기참을 더해주는 늘봄스튜디오 always-spring.co.kr 개요 android 와 다르게 ios의 앱 취약점 진단은 조금의 어려움이 존재하는 것같다. 그래서 하나하나 맨땅에서 시작을 해보려고 한다. apk의 경우 dex2jar를 이용하여 분석이 가능하지만 ios의 경우 apk처럼 분석이 불가하기 때문에.. Security Study/System 2023. 5. 23.

• Web 취약점 관련 내용 정리 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 개요 혼자 이것저것하다가 작성하며 추후에 필요에 의해 다시한번 더 보기 위함. 내용 최근에 web관련 할 것이 있다보니 웹 취약점을 찾고있다. 과거에 file upload와 한쌍으로 붙어다니던 file download취약점은 path traversal이라는 취약점과 함께 묶여서 다니는 것같다.date 검색을 해도 file download vulnerability 보단 path traversal 로 검색하는.. Security Study/Web 2023. 3. 10.

• 

  어쩌다보니 Stored XSS에 대하여... 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 제목그대로 어쩌다보니 정말 그냥 Stored XSS에 작성해보려한다. 영어 그대로 저장 XSS이다. 즉, 게시판같은 곳에 공격자가 글을 미리 작성하여두고 피해자가 게시판을 클릭하면 동작하여 악성행위를 하는 것이다. 예를 들어 이런것이다. 게시판에 "이것 좀보세요. 아이폰 14Pro 할인 엄청해요!" 이런식의 제목을 만들어두고 클릭하기를 기다리는 것이다. 물론 게시판에 글을 작성해두고 말이다. 여기서는 간단.. Security Study/Web 2023. 2. 14.

• 

  docker를 통해 web취약점 공부하기 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. docker를 통해 web취약점 공부하기가 무슨말인가? 음.... 사실 docker를 통해 web 취약점 공부하기 보단 docker를 이용해 dvwa(DAMN VULNERABLE WEB APPLICATION) 를 설치하고 모의해킹 연습을 해보는 것이다. dvwa는 해당 github에서 받아 가상으로 서버를 만들어 설치할 수 있다. https://github.com/digininja/DVWA GitHub -.. Security Study/Docker 2023. 1. 29.

• 

  theHarvester를 통한 이메일 및 도메인 정보 수집 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 업무 및 공부 등을 하다보면 OSINT(Open Source INTelligence) 공개출처정보가 많이 필요한 경우가 있다. 그러다 보니 하나하나 검색을 해가면서 많은 정보를 찾을 수가 없다. 사실대로 말하면 찾을 수는 있다. 시간이 매우 많이 걸려서 문제지... 그래서 여러가지 online으로 제공되는 OSINT와 maltego, theHarvester 등 프로그램들 또한 많이 제공되어지고 있다. 그 .. Security Study/Docker 2022. 12. 1.

• 

  오픈소스를 이용한 docker(container)취약점 스캔(trivy) 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. docker를 사용하다보면 많은 편리함이 존재한다. 가끔은 https://hub.docker.com/ 에서 제공되는 이미지들이 안전한가? 라는 의문을 가질수 있다. 다양한 취약점 스캐너들이 있지만 오늘은 trivy라는 취약점 스캐너를 소개 및 사용법을 작성할 예정이다. trivy는 aquasecurity에서 제공하는 도구로 설치도 쉽고 사용하기도 싶다. 공식 github는 https://github.com.. Security Study/Docker 2022. 11. 22.

• 

  Github API 사용을 위한 토큰 발급 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 최근에 어쩌다 보니 github를 사용해야하는 업무를 진행하였다. 사실 개발을 많이 하지않다보니 github를 크게 사용하지않았는데... 사용해보려 하니 어려움이 이만저만이 아니더라 ... 어찌어찌 이것저것하다가 그냥 API를 사용해야겠다는 생각이 들어서 api를 사용하려하니 사용자 인증에 대한 token이 필요하였다. 그래서 token 생성부터 아기자기하게 작성하려한다. https://github.com.. Security Study/Base Of Computer 2022. 11. 14.

• 

  chainalysis를 통한 가상화폐 추적 기본 순서 가상자산(Cryptocurrency)의 기본 특징 이해 주요 주체 및 사용 사례 파악 올바른 용어 사용 지갑. 주소 및 클러스터의 구별 블록체인과 비트코인 블록체인이란? → 사토시 나카모토가 고안한 거래내역 기록 과정이 연대순으로 장부를 업데이트하기에 비트코인 장부를 '시간 사슬'이라 부름 개방형(탈중앙형/무허가형) ↔ 폐쇄형(중앙집중형/허가형)거래 내역 공개 ↔ 거래내역은 구성원에게만 보임 누구나 접속가능 ↔ 구성원을 위한 폐쇄형 네트워크 하이브리드 블록체인 → 개방형과 폐쇄형의 중간 ⇒ 리플이 대표적인 예 → 거래내역이 공개되어있으나 폐쇄형 네트워크와 위계형 혹은 컨소시엄 형태의 운영 비트코인이란?→ 첫 번쨰 블록은 09년 1월 3일에 채굴됨→ 일반적으로 인용문은 08년 글로벌 금융 위기를 촉발.. Security Study/System 2022. 11. 6.

• 

  Docker 이용하여 GVM compose 및 실행 해당 글은 공부목적으로 작성되었으며, 해당 글을 통해 따라하다가 발생하는 모든책임은 사용자(따라한자)에 있습니다. 작성자는 모든 행위에 대해서 책임지지 않습니다. 취약점 점검을 할때 많은 스캐너들이 존재한다. 상용 스캐너를 비롯하여 오픈소스 스캐너들이 있는데 우리가 흔히 아는 openvas의 backtrack5 및 kali 등에서 많이 사용하는 스캐너였다. 지금은 openvas가 GVM으로 바뀐 것같더라 기존엔 리눅스에 하나하나 설치를 다해야하는데 docker를 통하여 쉽고 간편하게 스캐너를 설치할 수 있다. 오늘은 어떻게 설치하는지 알아보려한다. 공식 홈페이지 https://greenbone.github.io/docs/latest/22.4/container/index.html 에 접속을하면 방법이 나온.. Security Study/Docker 2022. 11. 3.

• 

  access 로그 분석 할때 꿀팁 access 로그를 분석할때 많은 어려움이 존재한다. 예를 들어 음 .... access 로그를 보면 양이많이 나온다. 그런걸 쉽게 정리하기위해 cat access.log | awk '{print $1, $7}' | sort | uniq -c | sort -rn 을 하게되면 역순으로 많이 들어간것을 찾을수있다. cat access.log | awk '{print $4}' | tr "[" " " 을 하게되면 시간까지 뽑을수있다. Security Study/Network 2020. 11. 2.

• 

  [암호학] 대칭키 암호 P-박스 현대블록 암호 -> 확산과 혼돈과 같은 성질을 만족시키기 위한 전치요소(P-박스)와 치환요소(S-박스)와 그 밖의 구성요소 결합 P-박스 => 문자 단위로 암호화를 했던 고전전치 암호를 병렬적으로 수행 종류 : 단순 P-박스 축소 P-박스 확장 P-박스가 존재 축소 P-박스 : n비트를 입력받아 m비트를 출력하는 P-박스로서 n>m을 만족 / 입력비트 중 특정 비트는 소실되어 출력X 확장 P-박스 : n비트를 받아 m비트를 출력하는 P-박스이며, nm 존재X 확장 P-박스 n Security Study/System 2020. 6. 16.

• 

  고정 소수점 오랜만에 포스팅을 합니다. 군인인지라 Security Study/Base Of Computer 2018. 9. 26.

• 

  owasp zap tutorial :) owasp zap 은 owasp에서 오픈소스로 공개한 툴이다. 그럼 무엇을 하는 툴인가? 홈페이지나 서버를 본인 스스로 체크하고 점검해주는 오픈 소스이다. burp랑 비슷하지만 오픈소스라는 점에서 차이점이 있다. 그럼 owasp는 무엇인가 ? The Open Web Application Security Project 로 전 세계적으로 보안 전문가들이 보안 취약점 진단 기준과 표준을 수립하고, 웹 어플리케이션 보안 관련 문서를 배포하고 보안 취약점 관련 툴을 개발하는 오픈소스 커뮤니티이다. 공식 홈페이지는 https://www.owasp.org/index.php/Main_Page 여기이다. owasp zap의 사이트는 https://www.owasp.org/index.php/OWASP_Zed_Attack_.. Security Study/Web 2016. 12. 27.

• 

  netdiscover tutorial :) netdiscover 같은 경우에는 기본적으로 backtrack 5 나 kali 에 있는 network tool이다. netdiscover은 active / passive scanner이다. 사용방법을 한번 알아보자 . 기본적으로 netdiscover 만 입력해도 이렇게 뜨는 것을 알수있다. 좀더 구체적으로 사용하기위해 netdiscover -h 를 입력하면 도움말이나오는데 -r 옵션을 이용하여 대역대를 설정해줄수도 있다. Security Study/Network 2016. 12. 26.

• 

  how to change hostname (hostname 바꾸기 ) hostname이란? 연결된 장치의 이름을 말한다. 여기서 보면 parrotsec이란 것이 hostname 이다. hostname이란 명령어를 이용하여 일시적으로 변경이 가능하지만 /etc/hostname에서 변경을 하여 바꿀 수 있다. 두둥 :) Security Study/Server(Linux) 2016. 12. 23.

• 

  web server 취약점 스캐너 nikto :) 웹 서버 취약점 점검 툴인 nikto에 대해 알아보자 :) 공식 홈페이지는 https://cirt.net/Nikto2 이다 . 여기서 다운을 받을 수있고 설치를 할수 있다. 리눅스 같은경우 apt-get install nikto 와 yum install nikto 로 쉽게 받을 수있다. Mac OS같은 경우에는 brew install nikto 를 하면 쉽게 받을수있다 . 먼저 명령어를 보자 간단하게 터미널에서 nikto 만 치게 되면 도움말들이 나타나는 것을 알 수있다. 조금 더 자세히 알고 싶다면 nikto -Help 를 입력한다면 이렇게 많은 도움말을 볼수가 있다. nikto 의 사용법을 알아보면 nikto -h [HOST IP] 이렇게만 해도된다. 왜냐 기본적으로 포트는 80번이 디폴트 값을 지니.. Security Study/Web 2016. 12. 21.

• 

  nmap tutorial :) nmap은 network mapper의 줄인말로 네트워크를 검색할 때 매우 좋은 툴이지만 해커에게 강한 무기가 될수 있는 오픈 소스 이다. nmap의 공식 사이트는 www.nmap.org 이며 우분투 같은 경우엔 apt-get install nmap Security Study/Network 2016. 12. 17.

• V3SPA: An Open Source Tool for Visually Analyzing and Diffing SELinux/SE for Android Security Policies V3SPA: An Open Source Tool for Visually Analyzing and Diffing SELinux/SE for Android Security Policies SELinux and SE for Android can be a crucial part of securing a system, but the size and complexity of SELinux security policies make them challenging for security policy administrators to develop and maintain security policies. For example, the sesearch utility shows 94,420 allow rules in the 2.. Security Study/Server(Linux) 2016. 12. 17.

• Mobile Application Reverse Engineering: MARA Mobile Application Reverse engineering and Analysis Framework MARA is a Mobile Application Reverse engineering and Analysis Framework. It is a tool that puts together commonly used mobile application reverse engineering tools, in order to make the task or reverse engineering and analysis easier and friendly to mobile application developers and security professionals. Features supportedAPK Revers.. Security Study/Reversing 2016. 12. 16.

• SQL injections vulnerabilities in Stack Overflow PHP questions SQL injections vulnerabilities in Stack Overflow PHP questions lastest SQL Injection vulnerabilities in PHP questions sql injection 취약점에 취약한 php문을 볼수 있고 보기 쉬운 인터페이스로 되어있어요 :) https://laurent22.github.io/so-injections/ Security Study/Web 2016. 12. 14.

• string filter(php) php://filter/string.rot13/resource=example.com http://php.net/manual/en/filters.string.php Security Study/Web 2016. 10. 5.