마이 키치 러버

민감 데이터 노출 OWASP 순위 상승 민감한 데이터 노출은 OWASP Top 10 2013 버전에서는 6위에 있었지만 2017 버전에서 3위로 그 중요도가 올라갔다. 그만큼 웹 상에서 다뤄지는 민감한 데이터가 많아졌다는 의미인 것 같다. 민감 데이터의 유형 -결제정보: 은행 계좌 번호, 신용카드 번호, 보안카드 번호 등 -건강정보: 진료 기록 -개인정보: 주민등록번호, 생년월일, 주소, 휴대폰번호, 이메일 주소 등 민감데이터노출 (Sensitive Data Exposure) 유형 및 대응방안 1.1 취약한 암호화 민감 정보를 암호화해서 보관하면 안전하다고 생각할 수 있지만, 암호화 및 복호화 방식이 취약하다면 위험성은 여전히 존재한다. 패스워드의 경우, 평문을 열람해야 할 이유가 없기 때문에 주로 SH..

문제 N개의 수가 주어졌을 때, 이를 오름차순으로 정렬하는 프로그램을 작성하시오. 첫째 줄에 수의 개수 N(1 ≤ N ≤ 1,000)이 주어진다. 둘째 줄부터 N개의 줄에는 숫자가 주어진다. 이 수는 절댓값이 1,000보다 작거나 같은 정수이다. 수는 중복되지 않는다. 학습 여러가지 정렬을 적용할 수 있지만, 나는 그 중에서도 버블정렬을 사용하였다. 버블정렬은 서로 인접한 숫자끼리 비교한 후 num[i-1]이 num[i]보다 크면 서로 교환하는 정렬이다. 버블정렬을 잘 이해하고 있으면 tmp변수를 하나 만들어 num[i],num[i-1]을 서로 교환하는 코드를 작성하는 것은 떠올릴 수 있을 것이다. 한 번의 버블이 끝나면 flag의 값을 1씩 증가시키고, 입력받은 N-1과 같아지면 break문을 통해서 ..

스니핑이나 스푸핑에 대해서는 한번쯤 들어 본 적이 있을 것이다. 반면, 스누핑은 그 둘에 비해 생소한 용어라고 느껴져 이번 자료(동아리 발표)를 준비하게 되었다. 0. 스누핑이란 (snooping) 스누핑은 snoop 염탐하다, 기웃거리다 라는 뜻을 가진 단어에서 유래되었다. 스니핑과 유사한 의미를 갖지만, 스니핑은 도청 혹은 몰래 엿듣는 의미가 강하고, 스누핑은 네트워크 상에 떠도는 중요 정보를 휙득하는 행위를 말한다는 점에서 차이가 있다. 사실, 스누핑에 대해 더 구체적으로 이해하고 싶었지만, 자료가 제한적이였고, 논문 쪽을 봐도 마음에 드는 자료를 찾을 수 없어 스누핑을 활용 한 방어기법인 DHCP 스누핑에 대해 조사해 보았다. 1. DHCP 스누핑(Snooping) - DHCP Server? DH..

보호되어 있는 글입니다.

저번 웹 공부 글에 이어 이번에는 HTTP의 메세지 구조를 자세히 살펴보고 정리해보려 한다. 이번 학기에 수강한 '웹보안' 과목에서 과제로 제출했던 CRLF 취약점은 HTTP 응답이 줄바꿈문자를 필터링 하지 않아 발생하는 공격이기 때문에, 특히 HTTP의 요청과 응답 메세지 구조에 대해 궁금했다. 1. URL과 URI HTTP를 정리하기 전에 URL과 URI에 대해서도 간단하게 공부해보았다. CRLF 취약점의 공격구문에 들어가는 코드를 URI값으로 인코딩해야하기 때문이다. URI = Uniform Resource Identifier 식별자 URL = Uniform Resource Locator 위치 URN = Uniform Resource Name 이름 URL과 URI는 웹 브라우저 등에서 웹페이지를 보..

이 글의 계획을 바탕으로 진행한 실습입니다. 2021.04.15 - [정보보안 공부/웹, 네트워크, 보안, 해킹] - [웹] CRLF 취약점 (HTTP 응답 분할 공격) [웹] CRLF 취약점 (HTTP 응답 분할 공격) 1. 사전조사 클라이언트와 서버 간의 HTTP request와 response Message를 살펴보면 헤더와 바디 사이 CRFL 공백이 존재하는 것을 볼 수 있다. 이 HTTP Response CRLF 공백에 악의적인 코드나 스크립트를 삽입하 cordingdiary.tistory.com 1. 서론 1.1 취약점 개요 (취약성) CRLF - HTTP 응답 분할 공격(CWE-113)은 OWASP Top 10 2017에 선정되지는 않았지만, 응답에 줄 바꿈 문자 CR / LF가 포함되면 H..

저번 CRLF injection을 공부하면서 웹에 관한 전반적인 이해가 필요할 것 같아 HTTP와 TCP/IP에대해 간략하게 정리해보았다. 다음 글은 아마 HTTP의 요청과 응답에 대해 학습하고 정리해볼 것 같다. 1. HTTP란 네트워크를 사용해 통신하기 위해서는 서로 정해진 절차와 데이터 형식을 지켜야 한다. 이것을 지키기 위해 미리 정해둔 약속을 프로토콜이라고 한다. 웹에서 자주 사용되는 프로토콜은 HTTP이다. WWW를 구성하는 기술은 문서를 작성하는 언어인 HTML, 문서 전송 프로토콜인 HTTP, 문서의 위치를 지정하는 방법인 URL로 제안돼있다. 2. TCP/IP와 HTTP의 관계 인터넷을 포함해 일반적으로 사용되는 네트워크는 TCP/IP라는 프로토콜을 통해 통신을 한다. HTTP는 그중 하..

1. 스니핑의 개념 단어의 사전적 의미인 '코를 킁킁거리다', '냄새를 맡다'와 비슷한 의미를 가진 해킹기법으로서 스니핑은 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿보는 것을 의미한다. 스니핑은 네트워크 상에서 전송자와 수신자 사이에 주고받는 데이터를 패킷 수준으로 분석하여 계정, 비밀번호, 프로토콜, 시스템정보 등 유의미한 내용을 알아내기 위한 해킹기법이다. 네트워크 상에 흘러다니는 트래픽을 엿듣는 도청장치. 아무것도 하지 않고 듣고있는 것 만으로도 충분히 공격을 가하는 것이기 때문에 수동적 공격이다. 2. 스니퍼 (Sniffer) 이런 스니핑을 할 수 있도록 하는 도구를 스니퍼(Sniffer)라고 하며 스니퍼를 설치하는 과정은 전화기 도청장치를 설치하는 과정에 비유될 수 있다. (=..

문제우리는 사람의 덩치를 키와 몸무게, 이 두 개의 값으로 표현하여 그 등수를 매겨보려고 한다. 어떤 사람의 몸무게가 x kg이고 키가 y cm라면 이 사람의 덩치는 (x, y)로 표시된다. 두 사람 A 와 B의 덩치가 각각 (x, y), (p, q)라고 할 때 x > p 그리고 y > q 이라면 우리는 A의 덩치가 B의 덩치보다 "더 크다"고 말한다. 예를 들어 어떤 A, B 두 사람의 덩치가 각각 (56, 177), (45, 165) 라고 한다면 A의 덩치가 B보다 큰 셈이 된다. 그런데 서로 다른 덩치끼리 크기를 정할 수 없는 경우도 있다. 예를 들어 두 사람 C와 D의 덩치가 각각 (45, 181), (55, 173)이라면 몸무게는 D가 C보다 더 무겁고, 키는 C가 더 크므로, "덩치"로만 볼 ..

보호되어 있는 글입니다.