태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. XSS(Cross-site Scripting)는 웹 상에서 가장 기초적인 취약점 공격 방법 입니다. 크로스 사이트 스크립팅(XSS)은 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하기 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생하게 됩니다. 공격자는 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또는 출력 될수 있게 공격을 할수 있습니다. XSS 취약점을 이용한 공격 방법은 크게 3가지로 분류됩니다. 1. XSS(Stored) - 저장 XSS..

공정거래위원회를 위장한 악성메일 유포가 추가로 발견되었습니다. 발신자 : leesy0201@jangsoomaeul.com 제목 : [공정거래위원회] 전자상거래 위반행위 조사통지서 첨부파일명 : 전자상거래 위반행위 통지서.egg 메일 본문은 기존과 동일한 형태로 이루어져 있으며, 조사심사기간, 조사기준일, 조사대상기간 등이 변경 되었으며, 발신자, 제목, 본문내용은 수시로 변경될수 있으니 사용자분들의 주의가 필요할것으로 보입니다. 첨부파일 안에는 2개의 바로가기 파일과, 1개의 실행 파일이 존재합니다. 또한 첨부파일안에 내용도 실행파일이 아닌 문서를 위장한 매크로 파일로도 유포가 될수 있으니 문서의 매크로 기능은 되도록 이면 사용을 안하시는것을 권장 드립니다.

입사지원서를 위장한 악성메일이 추가로 유포되는 정황이 발견되었습니다. 발신자 : osa1121@yoorimaeul.com 제목 : 입사지원, 오서안 첨부파일명 : 오서안.egg 첨부파일 안에는 이력서 파일이 아닌, 악성파일이 존재하면 해당 파일 클릭시 악성코드 감염을 유도 하고 있습니다.

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. XSS(Cross-site Scripting)는 웹 상에서 가장 기초적인 취약점 공격 방법 입니다. 크로스 사이트 스크립팅(XSS)은 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하기 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생하게 됩니다. 공격자는 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또는 출력 될수 있게 공격을 할수 있습니다. XSS 취약점을 이용한 공격 방법은 크게 3가지로 분류됩니다. 1. XSS(Stored) - 저장 XSS..

공정거래위원회를 사칭하여 랜섬웨어를 포함한 악성메일이 유포되고 있어 주의가 필요할것으로 보입니다. 발신자 : info@kanghancorp.com 제목 : [공정거래위원회] 전자상거래 위반행위 조사통지서 첨부파일명 : 공정위.png 전자상거래 위반행위 통지서.egg 해당메일은 공정거래위원회를 사칭해 발송되었으며, 전자상거래 위반행위 통지서.egg 첨부파일을 포함하고 있습니다. 해당 내용을 살펴보면 ‘부당한 전자상거래 신고가 제기되어 부당 전자상거래 위반행위에 대해 조사를 실시할 예정’이라며 ‘조사심사기간은 8월 13일부터 17일까지이며, 조사대상기간은 01월03일 부터 8월17일까지’로 표기돼 있다. 조사인원은 2명으로 조사방법은 현장 조사로 ‘붙임 전산 및 비전산 자료 보전요청서’ 1부를 포함한다는 내..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Blind SQL Injection은 Error-Based SQL Injection과 같이 대상 웹 페이지에 취약점을 이용하여 비정상적인 데이터베이스 쿼리를 날려 공격하는 방식입니다. Blind SQL Injection의 진단 화면 입니다. User ID 값을 입력히 URL을 확인해 보시면http://자신의 IP/vulnerabilities/sqli_blind/?id=1&Submit=Submit 이런식으로 id 값이 들어가 있는것을 확인하실수 있으실 겁니다. Blind SQL Injection 진단에서는 SQL M..

이미지를 도용했다며 법적인 조치를 취하겠다는 악성메일과, 입사지원서를 위장한 메일이 동시에 유포 되고 있습니다. 이러한 악성메일들이 egg 확장자를 주로 많이 사용하는 이유는 보안장비를 우회할 목적으로 사용하므로, 이러한 확장자에 대해서는 다시 한번 확인할 필요가 있습니다. 발신자 : info@donghojeji.com 제목 : 안녕하세요 이미지 무단사용관련해서 메일드립니다(본인제작 이미지) 첨부파일명 : 이미지무단사용관련.egg 기존 유포방식과 유사한 패턴이며, 제목, 발신자 는 수시로 변경이 되고 있습니다. 입사 지원서를 위장한 악성메일과 동일한 파일들이 존재하며, 사용자의 심리를 이용하여 감염을 유도 하고 있습니다.

입사지원서를 위장한 악성코드 유포가 추가로 발견되었습니다. 발신자 : info@donghojeji.com 제목 : 안녕하세요 이시연 지원합니다. 잘부탁드리겠습니다! 첨부파일명 : 이시연.egg 기존 방식과 동일하게 입사지원서를 위장해 악성코드를 유포 첨부파일 안에는 바로가기 파일 및 실행파일이 존재하며, 사용자의 클릭을 유도하여 악성코드 감염을 유도하고 있습니다. 의심되는 파일을 삭제를 하시기 바랍니다.

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. SQL Injection 취약점은 웹 애플리케이션의 메시지를 이용하여 데이터베이스 내부의 정보를 유출하는 취약점입니다. 공격자는 데이터베이스 쿼리에 임의의 SQL 쿼리를 삽입함으로써 공격이 이루어 집니다. SQL Injection 취약점 진단의 화면 입니다. 아래 링크에서 SQL Injection 설명을 보시면 도움이 되실겁니다. SQL Injection에 웹 소스코디 입니다. GET 메소드로 입력한 id 값을 저장하는 것을 확인할 수 있습니다. Low레벨의 소스코드를 보시면 쿼리문에서 ID를 입력했을때 users..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Insecure CAPTCHA 캡차는 컴퓨터가 알 수 없는 흘려 쓴 글씨나, 그림등의 클릭 키를 입력받아서 사람인지 확인하는 것입니다. 쉽게 말해 사이트에서 사람이 접근하려고 하는 것인지 봇이 접근하는 것인지 판단하기 위하여 많이 사용되고 있습니다. Insecure CAPTCHA 문제의 화면입니다. 해당 취약점 진단을 하기위해서는 캡차 설정을 해야 합니다. 먼저 메모장으로 config.inc.php 파일을 열어주신후 밑에 보이시는 링크를 눌러 해상 사이트에 접속을 해줍니다. 사이트를 접속하시면 다음과 같은 화면이 ..