공대생 키우는 보더콜리

암호화2 9월 20일 화요일 암호화를 하는 이유 기밀성(confidentiality): 내용이 노출되지 않도록 하는 것 무결성(integrity): 내용이 변조되지 않도록 하는 것 가용성은 암호화와 상관이 없다. 인증(authentication): 올바른 사용자임을 증명하는 것 부인봉쇄: 아니라고 하지 못하게 하는 것 대칭키(symmentric key)==secret key ==session key 암호화키와 복호화 키가 서로 대칭을 이룬다. → 사실상 하나의 키다. Dr.Feistel, 헝가리의 2차 세계대전 출신으로 IBM의 루시퍼 시스템인데, 이게 다운 그레이드 되어서 DES, 3DES가 되었다. SPN구조(치환와 전치의 반복): AES(리인델) 대칭키 방식은 크게 두가지인데, SPN구조와 feis..

시스템 네트워크 보안 암호화 암호화 프로토콜 암호화 서비스 암호화 개요 암호화를 수십번 쓴다. 현재는 암호화 안된 것을 사용하지 않는다. 최근 이슈는 과연 우리가 사용하는 암호회는 안전한가? 이 사이트에서만 암호를 보았으면 좋겠다. 하지만 다른 사람이 내가 아이디를 치는 것을 보지 않을ᄁᆞ? 저번시간에 wireshark로 볼 수 있었다. 암호화를 하지 않으면, 도청된다. 이메일로 로그인을 하는 경우에도 base64로 난독화가 되었지만, 디코딩을 하면 패스워드가 뭐였는지 볼 수 있었다. (군단장과 시저만 알고 있어야 한다.) 그림 설명: 로마의 caesar는 갈리아(프랑스) 지방을 정벌을 했는데, 정벌하기 위해서 10년이 걸렸다. 여기 라인강 주변에서 게르만족이 살았는데, 이 곳이 살기 좋다. 여기는 산이..

웹 보안 2일차 ● 웹 보안의 이슈 - 사진, 텍스트, 링크 - 회원가입, 장바구니, 게시판 글쓰기, 파일 업로드, 동영상 업로드, 실시간 채팅, 화상회의 등등 수 많은 기능을 www환경에서 실행 - 다양한 부분에서 취약점 등이 발생하는 문제 ● SQL인젝선 - SQL문의 조건절을 참이 되도록 만들어서 공격자가 의도하는 결과를 만들어내는 공격 - ex) 공격 종류: login bypass(로그인 우회), DB에 있는 정보를 획득/ 조작 등등 ● XSS(cross site scripting) - 스크립트를 활용한 공격 - 스크립트는 공격자가 작성하기 나름이기 때문에 다양한 공격이 가능하다. - 최근에 가장 많은 공격이 발생하는 것은 악성코드를 자연스럽게 다운로드 하도록 유도(Drive by Download..

시스템 네트워크 보안 2일차 네트워크 보안(일정) 네트워크의 이해 → 네트워크 분석취약점(목요일) 종합정리(금요일) ★ 인터넷의 시작: 통신 장치들이 호환이 안되는 문제, 네트워크 장비를 만드는 회사들이 각자 독자적인 기술을 가지고 있어서 호환이 안됨. 그래서 만든 것이 ARPA에서 공통의 프로토콜(장비가 달라도 통신익 가능하도록 프로토콜을 개발(ARPAnet: 빈트서프, 로버트칸)) ★ milnet와 tcp/ip로 나누이서 tcp/ip는 민간에 개방해서 상업용으로 사용가능하도록 하였다. 그래서 오늘날 사용하고 있는데, 정부 기관이다 보니 돈을 받을 수 없다. license free, isp기업들은 엄청 좋아함 ★ ip프로토콜: ip주소를 분배하고 ip끼리 서로를 인식하고 통신할 수 있도록 하는 프로토콜..

이론이 매우 중요! 이론을 실습으로 연결하는 것 인터넷을 만든사람 → 빈트 서프, 로버트칸 (1970년대 초반) 인터넷의 종류: www(80년대), ftp, telnet, ssh, 토렌트, gopher, archie(60년대) 등 인터넷이 만들어진 이유? 미 국방부 산하에 ARPA(알파, 국방과학연구소)애서 전쟁에 쓰이는 무기를 연구(신무기 개발) 전쟁에 쓰이는 무기를 개발하려다보니 연구기관들이 다 흩어져 있다. 그래서 데이터를 교류하려고 보니 과거는 비행기를 타고 갔다. 그래서 선을 연결할 수 없을까 생각하다가 개발하게 됨. 연결하려고 보았더니 통신방법이 다 다르다. 어떤 연구기관은 CISCO방식, 유에스로보틱스 방식 등을 사용하면서 서로 다른 회사의 네트워크 장치를 사용하다보니 호환이 안되는 상태, ..

9월 14일 웹 해킹보안 7일차 dvwa실습 마무리 웹 방화벽 설치 Beebox실습(남은 문제) blindSQL 인젝션 db에 대한 정보가 없는 상태에서 SQL문을 조작해서 DB명, 테이블명, 컬럼명 이러한 것들을 알아내는 공격 주로 에러가 힌트가 되기 때문에 오류를 일으키거나, 한 글자씩 TRUE/ FALSE를 확인하는 방식을 사용했다. 그러다보니 너무 많아서 번거로움을 해소하기 위해서 자동화된 도구를 사용했다. (SQLmap이라는 도구를 사용) command Execution 검색창에 공격자는 공격을 하지 않는다. 검색창을 만들어 놓으면 검색만하겠지라고 생각하는데, 해커들은 검색을 하지 않고, 리눅스 명령어를 실행시키려고 한다. (백도어/ 트로이안 방식) 그래서 이러한 것들을 Beebox에서 PHP코..

#OWASP top10 오전 중 마무리 #DVWA실습 7번쨰 오류: 식별 및 인증 오류(원인) Credential stuffing 1. 여러군데 회원가입을 하다보니 id/pw가 동일하다. 2. 약한 사이트를 해킹(webshell, rat업로드, webdav업로드, sql인젝션 등등)해서 고객db를확보 → id/ pw가 나온다. → 이를 가지고 다른 사이트에 넣어본다. 3. 다른 사이트에 넣어본 결과 (홈플러스 포인트를 마구 쓴다든지, 합친다든지 가능하다. 항공마일리지도 털어서 내부관계자에게 보낼 수 있다. 금융권, 포털, sns 등) 4. 2021년 통계에 의하면 가장 심각한 해킹 유형 대응방법 사이트마다 password를 조금씩 다르게 지정해야 한다. ex) 카톡이 털리면 지인들에게 돈빌려달라는 메시지..

#DB 펫샵이라는 데이터 베이스를 만들 수 있는데, 그 안에다가 테이블을 만들 수 있다. 그러면 테이블에는 고객 테이블이 있을 수 있고, 동물 테이블이 있을 수 있다. 이 동물이 어느 고객에게 입양이 됐다 이게 매치가 되고, 이 동물도 언제 우리 가게에 들어왔고, 언제 입양되고 이러한 정보들이 있을 것이다. db가 있고, 컬럼/행이 있고, 거기에 테이블이 있다. 가로줄을 레코드/ row/튜플라고 하고, 세로줄은 컬럼 메타 데이터 베이스가 있을 수 있는데, 이 DB는 information_schma라는 것이 있다. 이러한 DB안에 다른 데이터 베이스에 대한 정보가 들어있다. 이 안에 고객 테이블, 동물 테이블 같은 정보들이 들어있다. (테이블에 대한 정보, DB에 대한 정보, 컬럼의 정보) 이런 식으로 정..

웹 해킹 4일차 공격자가 공격대상과 연결하는 방법 backdoor 공격자가 공격대상에 접근하는 방식 미리 공격대상(피해자)에 백도어를 설치하거나 취약한 어플리케이션을 사용하는 경우 방화벽에 의해서 대부분 차단됨. → 이 방법은 2%만 사용된다. 2010년대 초반ᄁᆞ지나 쓰인 방법 2. reverse connection(trojan horse) 공격대상이 공격자쪽으로 접근하는 방식 공격대상에 RAT(Remote access trojan)을 미리 침투시켜서 실행될 경우, 공격자쪽으로 미리 준비한 컴퓨터로 연결 시도 (트로이 목마 방식) 방화벽을 우회할 수 있음. 이 방법이 가장 많이 사용된다. 주로 할 수 있는 방법: 이메일을 보내는 방법(고객님 이번에 할인쿠폰 드려요(첨부파일 형식)), 초대장, 항공권, ..

웹 해킹 보안 3일차 복습 XSS(cross site scripting) 스크립트를 웹 사이트에 업로드하고, 방문한 웹 브라우저에서 스크립트를 실행하게 되면, 공격자가 원하는 행위가 발생한다. 그래서 웹 브라우저에서 실행한다는 얘기는 웹 브라우저에서 공격한다, 타겟은 웹 브라우저 웹 브라우저가 타겟인데 웹 브라우저를 웹 서버에 올려놓기 때문에 즉, 타겟이 웹 브라우저이지만 직접 공격하는 것이 아니고 웹 서버를 경유해서 공격하는 기법 스크립트를 평문으로 작성하면 악성코드를 유포하는 URL, 악성코드 이름 등이 노출됨. 그래서 공격자들은 스크립트를 난독화를 한다. 그래서 거의 난독화하는 비율이 90%가 넘는다. 난독화 스크립트의 내용을 숨기기 위해서 난독화를 한다. 난독화를 하려면 복잡한 함수와 생소한 인코..