ziqon

안녕하세요. 해킹과 방어 시리즈를 연재하고 있는 Ziqon입니다. 가을비가 내리더니 몇주만에 추워지는 군요. 가을이 와서 마음이 싱숭생숭하지만 해킹과 방어를 한번 해봅시다! 오늘의 주제는 침해사고가 났다고 하면 100의 60은 이 공격을 시발점으로 시작됩니다. 바로 파일업로드 공격이지요. 단순히 파일 업로드가 된다고 해서 공격이 가능한 것은 아닙니다. 웹쉘이라는

안녕하세요. 해킹과 방어 시리즈를 연재하고 있는 Ziqon입니다. 이번 편에서는 외부 인터페이스(웹)를 통해 시스템에 직접적으로 command를 전달할 수 있는 취약점을 이용하여 command injection 공격과 방어를 해보겠습니다. [공격] 접속하여 Webgoat의 [Injection Flaws]의 [Command Injection]에 접속하고,

안녕하세요. 해킹과 방어 시리즈를 연재하고 있는 Ziqon입니다. 벌써 9번째 이야기라니.. 많이 왔습니다. 날씨도 시원해지고~ 다 같이 열공열공! 이번에는 웹시스템의 다운로드 취약점을 공격하고 방어해보겠습니다. 다운로드 파라미터에 웹루트의 디렉토리 명령을 집어넣어 시스템 파일 등에 접근하는 기법입니다. 자 그럼~ 돌격 앞으로!!! webgoat 실행 및 왼쪽

안녕하세요. 해킹과 방어 시리즈를 연재하고 있는 Ziqon입니다. 이번엔 그 세번째 공격과 방어를 해보겠습니다. CRLF는 Carriage Return (ASCII 13, \r) Line Feed (ASCII 10, \n)의 줄임말로 HTTP응답분할이라고도 합니다. HTTP Request에 있는 파라미터가 HTTP Response의 응답헤더로 다시 전달되는

안녕하세요. 해킹과 방어 시리즈를 연재하고 있는 Ziqon입니다. 이번엔 그 두번째 공격과 방어를 해보겠습니다. 게시판 등에 악의적인 스크립트를 넣어 조회자의 세션을 탈취할 수 있는 공격! 바로 XSS(Cross site scripting)입니다. XSS메뉴에서 Tom Cat 계정으로 로그인하기 (암호 : tom) ViewProfile 버튼 클릭 후

안녕하세요. 해킹과 방어 시리즈를 연재하고 있는 Ziqon입니다. 이제 그 첫번째 공격과 방어를 해보겠습니다. 해킹의 꽃이라 불리우는 SQL Injection! 많이들 들어보았을 것입니다. 실제로 주변의 큰 보안 사고가 발생하는 공격 방식이기도 합니다. 그럼 실습을 해볼까요? victim 서버 구동 SQL Injection 페이지로 이동 공격 구문 수행 :

그 어떤 걱정과 근심도 존재의 가치를 능가할 수 없습니다. 지금 여기에 나라는 존재와 가치를 흠뻑느끼시고 즐기시는 우라 스티미언되어요~~^^

우리 시대에 혁명은 가능할까? 혁명이 일어난다면 우린 그 혁명에 내가 참여할 수 있을까 하는 고민들을 살아오면서 많이 했던 것 같습니다. 5G다, AI다, 블록체인이다, IoT다 4차 산업 혁명의 물결이라는 미명하에 우리는 생각하고 움직이고 있습니다. 이것들은 마치 우리시대의 혁명인 것처럼 느껴집니다. 작년에 붐이 일었던 암호화폐 혁명에 대해서 이야기해보고자

안녕하세요. 지난 에피소드에서 웹의 기본 구조를 이해하고 그 구조에서 어떤 공격들이 있는지 살펴보았습니다. 이번 에피소드부터는 지난번 셋팅한 Webgoat를 공격해보고 공격을 이해하여 방어 로직을 구성해보도록 하겠습니다. 먼저 해커의 입장에서 타겟이 되는 시스템은 잘 알지 못하는 시스템입니다. 그렇기 때문에 맨 처음 하는 행위는 정보 수집입니다. [ 풋 프린팅]

안녕하세요. 지난 에피소드까지는 웹 해킹 방어 실습을 위한 환경 구성을 해보았습니다. 이번 에피소드부터는 우리가 구성한 victim사이트를 여러가지 기법으로 공격하려고 하는데요. 그 전에!!! 웹의 구조를 알아야 공격하면서도 아 이 공격이 어떤 의미가 있구나 라는 것을 이해하게 될 겁니다. [웹서비스의 기본적인 구성] 일반적인 웹 서비스의 구성은 웹 서버,

안녕하세요. IT+정보보안을 12년간 Job으로하고 있는 저는 어떻게 공격이 들어오고 이걸 어떻게 방어해야 할 것인가에 대하여 Job SSul을 풀어보는 첫 시리즈로 어플리케이션 해킹과 방어가 어떻게 이루어지는지를 주제로 삼았습니다. 지난 포스트들에 이어 환경구성을 계속 해보겠습니다. - 소스코드 취약점 점검 툴 설치 소스코드 취약점 점검 툴은 아래와 같이

이전 포스트 ( 해킹 및 방어 실습하기 위한 기본설정을 수행했습니다. 이번에는 두번째 단계로 Victim사이트를 구성해보도록 하겠습니다. 먼저 아래 사이트에서 webgoat라는 owasp에서 제공하는 취약한 웹 어플리케이션 파일(webgoat.war)을 다운로드 받습니다. 다운로드 받은 war파일을 이클립스에서 import합니다.([File]-[Import]

요새 거래소 해킹 이슈로 암호화폐 투자자들은 많은 손실 받고 있습니다. 거래소의 대응도 대응이지만 일반 투자자들에게도 해킹과 그 대응하는 방법이 무엇일까하는 기본적인 내용들을 알아야합니다. IT+정보보안을 12년간 Job으로하고 있는 저는 어떻게 공격이 들어오고 이걸 어떻게 방어해야 할 것인가에 대하여 Job SSul을 풀어보는 첫 시리즈로 어플리케이션 해킹과

Bitcoin을 뛰어 넘자! 블록 체인 (Blockchain)은 우리 생활에 사용되는 수많은 활용 사례로 뉴스 헤드 라인을 장식하는 전문 용어입니다. 블록 체인의 잠재력은 디지털 통화를 넘어서 통신을 포함한 다른 여러 산업 분야에 적용이 가능합니다. 도대체 어떻게 한단 말일까요? 이번 편에서는 블록체인을 통신업계에서 어떻게 활용할 수 있고 그 한계가 어디까지인지

none

none

블록체인이 가장 큰 규모로 움직일 수 있는 시장은 어디일까? 이 의문에서 시작된 나의 질문은 경제 규모에서 직관적인 답을 찾았다. 블록체인이라는 것은 실물과 거래가 원장으로 엮여 투명하게 분산 저장된다는 것은 이제 많은 사람들에게 알려져있다. 즉, 실물의 규모가 크다면 결국 그 블록체인의 규모도 굉장할 것이라는 것이 내 가설이다. 특히 그 규모도 중요하지만

코인의 가격을 예측할 수는 없을까요? 누구나 미래를 미리 예측해서 오를 때 구매하고 떨어질 때 파는 전략들을 구상하고 있을 겁니다. 지난 글을 통해서 Market의 Capa와 가격은 매우 밀접한 관계가 있음을 확인했었는데요. 아래 오늘 코인 시장 전체의 Capa변화 추이는 아래와 같습니다. 비트코인 및 전체 코인의 가격 변화 추이와 매우 비슷한 모양을 가집니다.

현진건의 운수 좋은 날... 중고등학교 때였던가 처음으로 읽었을 때 그 먹먹한 감정을 지금도 잊을 수가 없습니다. 오늘 갑자기 이 책이 읽고 싶어져 인터넷을 뒤져 전문을 읽었습니다. 한국인이라면 대부분 이 책을 읽으셨겠지만 기억에 잊혀졌을 수도 있기에 줄거리를 대략 설명하면.. 이 이야기는 1920년대를 살아간 한 인력거꾼의 이야기입니다. 비가 오는 어느날

평소 먹는 걸 즐기는 타입이 아닌 제가 얼마전 다녀왔던 곳입니다. 결혼 기념일.. 와이프의 까다로운 입맛을 만족시키고 또 그래야 며칠이 평안해지기 때문에 여기저기 알아보고 다니다가 오래전 알던 친구가 극추천을 합니다. "근데 어디라고? 거기에 맛집이 있어?" 평소 잘 알던 동네이고 그 근처는 맛집과는 동떨어진 약간 문화적인 냄새보다는 기계적인