마이 키치 러버

수행 코드 : sudo apt-get update 에러 내용 : 패키지 목록을 읽는 중입니다... 완료 E: Could not get lock /var/lib/apt/lists/lock. It is held by process 1299 (packagekitd) N: Be aware that removing the lock file is not a solution and may break your system. E: /var/lib/apt/lists/ 디렉터리를 잠글 수 없습니다 해결 방법 : sudo killall apt apt-get //모든 프로세스를 죽여줌 sudo rm /var/lib/apt/lists/lock sudo rm /var/cache/apt/archives/lock sudo rm /va..

*양대일_네트워크 해킹과 보안 책 참고 *공부 백업하는 이유 : 분명 난 여러번 봐야 이해할 것이기 때문에 내 언어로 정리한 글 보고 쉽게 이해하려고 책 참고 + 그림 정보는 구글링 + 공부하다가 모르는 내용도 구글링으로 덧붙임 1. 네트워크 계층화가 필요한 이유 : 어떤 웹사이트에서 파일을 다운받는다고 하자 그렇게 하기 위해서는 해당 웹사이트 네트워크 주소를 확인하고 몇 개의 라우터와 네트워크를 지나 웹사이트에 원하는 페이지를 요청한다. 웹 서버는 이 일을 여러번 반복할 것이다. 이것을 한번에 한다고 생각해보면, 중간에 있는 많은 네트워크 장비들을 한 번에 통제할 수 있는 프로토콜을 만들어서 데이터 전송을 성공시킬 수 있을까? 거의 불가능하다. 이해할 수 있는 쉬운 단위로 쪼개야 한다. ->네트워크계층..

참고: 네트워크 해킹과 보안 pp.41-45 프로토콜 : 컴퓨터들은 상호간에 통신을 하기 위해서 미리 정해놓은 규칙이 있다. 서로 무작위로 통신하기 된다면 데이터를 서로 전달하면서 손실이 발생하거나 제대로 전달받더라도 읽어들이지 못하는 등 여러 문제가 생길 수 있다. 컴퓨터 상호간의 데이터를 원활하게 주고 받을 수 있도록 정해놓은 규칙을 통신규약이라고 한다. 통신규약에는 접속방식이나 데이터의 전달방식 및 자료의 형식과 전송속도 등을 포함한다. 예를들어, 한국 대통령과 아랍 대통령이 대화를 하는데 통역원이 영어와 모국어만 사용할 수 있다고 하자. 한국과 아랍 대통령이 통역원에게 모국어로 이야기 하면, 통역원끼리 영어로 이야기 할 것이다. 이때, 한국 대통령과 아랍 대통령이 이야기를 나누는 과정에서 영어가 ..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

민감 데이터 노출 OWASP 순위 상승 민감한 데이터 노출은 OWASP Top 10 2013 버전에서는 6위에 있었지만 2017 버전에서 3위로 그 중요도가 올라갔다. 그만큼 웹 상에서 다뤄지는 민감한 데이터가 많아졌다는 의미인 것 같다. 민감 데이터의 유형 -결제정보: 은행 계좌 번호, 신용카드 번호, 보안카드 번호 등 -건강정보: 진료 기록 -개인정보: 주민등록번호, 생년월일, 주소, 휴대폰번호, 이메일 주소 등 민감데이터노출 (Sensitive Data Exposure) 유형 및 대응방안 1.1 취약한 암호화 민감 정보를 암호화해서 보관하면 안전하다고 생각할 수 있지만, 암호화 및 복호화 방식이 취약하다면 위험성은 여전히 존재한다. 패스워드의 경우, 평문을 열람해야 할 이유가 없기 때문에 주로 SH..

스니핑이나 스푸핑에 대해서는 한번쯤 들어 본 적이 있을 것이다. 반면, 스누핑은 그 둘에 비해 생소한 용어라고 느껴져 이번 자료(동아리 발표)를 준비하게 되었다. 0. 스누핑이란 (snooping) 스누핑은 snoop 염탐하다, 기웃거리다 라는 뜻을 가진 단어에서 유래되었다. 스니핑과 유사한 의미를 갖지만, 스니핑은 도청 혹은 몰래 엿듣는 의미가 강하고, 스누핑은 네트워크 상에 떠도는 중요 정보를 휙득하는 행위를 말한다는 점에서 차이가 있다. 사실, 스누핑에 대해 더 구체적으로 이해하고 싶었지만, 자료가 제한적이였고, 논문 쪽을 봐도 마음에 드는 자료를 찾을 수 없어 스누핑을 활용 한 방어기법인 DHCP 스누핑에 대해 조사해 보았다. 1. DHCP 스누핑(Snooping) - DHCP Server? DH..

저번 웹 공부 글에 이어 이번에는 HTTP의 메세지 구조를 자세히 살펴보고 정리해보려 한다. 이번 학기에 수강한 '웹보안' 과목에서 과제로 제출했던 CRLF 취약점은 HTTP 응답이 줄바꿈문자를 필터링 하지 않아 발생하는 공격이기 때문에, 특히 HTTP의 요청과 응답 메세지 구조에 대해 궁금했다. 1. URL과 URI HTTP를 정리하기 전에 URL과 URI에 대해서도 간단하게 공부해보았다. CRLF 취약점의 공격구문에 들어가는 코드를 URI값으로 인코딩해야하기 때문이다. URI = Uniform Resource Identifier 식별자 URL = Uniform Resource Locator 위치 URN = Uniform Resource Name 이름 URL과 URI는 웹 브라우저 등에서 웹페이지를 보..

이 글의 계획을 바탕으로 진행한 실습입니다. 2021.04.15 - [정보보안 공부/웹, 네트워크, 보안, 해킹] - [웹] CRLF 취약점 (HTTP 응답 분할 공격) [웹] CRLF 취약점 (HTTP 응답 분할 공격) 1. 사전조사 클라이언트와 서버 간의 HTTP request와 response Message를 살펴보면 헤더와 바디 사이 CRFL 공백이 존재하는 것을 볼 수 있다. 이 HTTP Response CRLF 공백에 악의적인 코드나 스크립트를 삽입하 cordingdiary.tistory.com 1. 서론 1.1 취약점 개요 (취약성) CRLF - HTTP 응답 분할 공격(CWE-113)은 OWASP Top 10 2017에 선정되지는 않았지만, 응답에 줄 바꿈 문자 CR / LF가 포함되면 H..

저번 CRLF injection을 공부하면서 웹에 관한 전반적인 이해가 필요할 것 같아 HTTP와 TCP/IP에대해 간략하게 정리해보았다. 다음 글은 아마 HTTP의 요청과 응답에 대해 학습하고 정리해볼 것 같다. 1. HTTP란 네트워크를 사용해 통신하기 위해서는 서로 정해진 절차와 데이터 형식을 지켜야 한다. 이것을 지키기 위해 미리 정해둔 약속을 프로토콜이라고 한다. 웹에서 자주 사용되는 프로토콜은 HTTP이다. WWW를 구성하는 기술은 문서를 작성하는 언어인 HTML, 문서 전송 프로토콜인 HTTP, 문서의 위치를 지정하는 방법인 URL로 제안돼있다. 2. TCP/IP와 HTTP의 관계 인터넷을 포함해 일반적으로 사용되는 네트워크는 TCP/IP라는 프로토콜을 통해 통신을 한다. HTTP는 그중 하..