마이 키치 러버

파일 다운로드 취약점 실습 phpinfo.php 다운 file name과 f_path를 바꿔줌 현재 있는 경로로 부터 phpinfo까지 두 번 올라가야 하므로 ../../ 로 바꿔준다 file name과 f_path를 바꿔줌 현재 있는 경로로 부터 phpinfo까지 두 번 올라가야 하므로 ../../ 로 바꿔준다 → 성공적으로 다운받을 수 있음! DB connection 프로그램 접속 실습 →db 정보 탈취, uid=sa = 매우 높은 권한 SSRF (Server-Side Request Forgery) 10.200.132.20:8000 →접속 SSRF로 내부망 질의 가능 내부망 질의 실습 로컬호스트로 접속하는 액션을 버프 수트로 잡아 우클릭 > intruder로 패킷을 잡아 보냄 80번에서 갑자기 길이가..

💡 liveoverflow - 유튜브, 전반적인 해킹 기법, cve분석하는 법, 버그바운티 해설 등 올라오는 유용한 채널, 보다보면 최신 동향 파악 가능 alert(1) 대신 값을 찍어내는 document.domain으로 값을 찍어보는게 더 유용하다! → 스크립트가 실행된다고 해서 취약한게 아니라 이것을 통해 정보를 알아낼 수 있어야 취약한 것이기 때문 구글 blogger의 경우 외부에서 스크립트를 받아오기 때문에 (분리된 서버, sandbox subdomains, iframe 형태로 삽입) XSS 공격으로 부터 안전할 수 있다. →zeroday sandbox 우회 기법도 계속 나오고 있음 따라서 google bloger의 cookie 또한 읽을 수 없다.. → alert만 하지 말고 console(””..

근거리 네트워크 위협 ARP 스푸핑 대응 방안 대응 방안의 요소 기술적 요소 (대부분) 보안 설정 보안 솔루션 오픈소스 상용 관리적 요소 정책, 지침, 프로세스 관리 인원 또는 절차 추가 DoS 공격 유형 및 유형별 공격 실습 DoS와 DDoS DoS 서비스를 일시적 또는 무기적으로 중단시키는 공격 유형을 통틀어 뜻함 시스템의 과부하나 시스템 오류를 일으켜 일부 또는 모든 합법적 요청이 정상 동작하지 않도록 수행 대표적인 공격 예시 : Ping of Death 공격 DDoS 여러 시스템이 대상 시스템의 대역폭이나 리소스를 초과하여 서비스를거부하는 방법 보통 시스템에 넘쳐나는 트래픽으로 시스템을 손상시킴 시스템의결함이 아니더라도 가용성 침해 공격이 가능 DoS 와 DDoS를 동일 선상에서 비교하는것이 아닌..

케이쉴드 주니어 교육을 듣게 된 지도 어느새 한 달이 지났다. 2주는 온라인 교육, 그 후 부터는 KISEC 본사에서 오프라인 교육을 듣게되는데 오늘은 3월 4주차에 배웠던 네트워크 스캐닝 공격에 대해 백업해 두려고 한다. 수업은 이론과 실습을 중심으로 진행되며 내용이 많고 진도가 굉장히 빠르니 조금이라도 집중력이 흐트러지면 내용을 놓치기 일쑤이기에 되도록 풀 집중 하려고 노력했던 것 같다. 그래도 온라인과는 다르게 오프라인으로 동기들을 만날 수 있어 좋았다! 네트워크 스캐닝 공격 네트워크 스캐닝 개요 정의 : 스캐닝은네트워크를 통해 제공하고 있는 서비스, 포트 HOST 정보 등을 알아내는 것을 의미 TCP 기반의프로토콜은 질의 응답 메커니즘 대표적인 스캔 프로그램으로는 nmap이 있음 well-kwno..

예전부터 케쉴주에 지원하고 싶어서 10기 지원 신청이 시작되자마자 지원했던 케이스였다. 제출서류는 별 거 없고 지원동기 500자~1000자 만 제출하면 된다! 나는 998자로 꽉꽉 채워 냈음.. 모의해킹과 취약점 분석, 침해사고 대응 세 가지 중 고민하다가 관제는 ㅌㅌ하라는 지인의 말에 모의해킹으로 지원했다. 서류는 대부분 합격하는 것 같기에 서류 내고 쉬엄쉬엄 지필+면접 준비를 했다. 예상 질문 뽑고 뭐 그런 것들... 수기들을 찾아보면 면접에서 정보보안 상식도 물어보는 것 같길래 전공 복습+면접 기출 답 찾아보는 식으로 준비 했었고 지필은 그냥 하루에 80문제씩 cbt를 돌렸다. 면접 당일, 지필 평가는 합격 수기에서 봤던대로 정보기와 비슷한 내용이었고 모두 전공에서 배웠던 내용이라 크게 어렵진 않았..