태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Denial-of-Service (Slow HTTP DoS) 서비스 거부 공격(denial-of-service attack, DoS attack) 또는 디오에스 공격/도스 공격(DoS attack)은 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 분산 서비스 거부 공격(Distributed DoS attack, DDoS attack, 디도스 공격)은 다수의 시스템을 통해 공격을 시도하며 다양한 방법을 통해 동시에 공격하기도 한다. Slow..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Denial-of-Service (Large Chunk Size) Chunk는 PNG , IFF , MP3 및 AVI와 같은 많은 멀티미디어 파일 형식에서 사용되는 정보 조각입니다 서비스 거부 공격(denial-of-service attack, DoS attack) 또는 디오에스 공격/도스 공격(DoS attack)은 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 분산 서비스 거부 공격(Distributed DoS attack, DDoS ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Cross-Site Tracing (XST) 교차 사이트 추적 (Cross-Site Tracing XST) 공격 에는 XSS(교차 사이트 스크립팅) 및 TRACE 또는 TRACK HTTP 메서드의 사용이 포함됩니다. RFC 2616에 따르면 "TRACE를 사용하면 클라이언트가 요청 체인의 다른 쪽 끝에서 수신되는 내용을 확인하고 해당 데이터를 테스트 또는 진단 정보에 사용할 수 있습니다." TRACK 방법은 동일한 방식으로 작동하지만 Microsoft의 IIS에만 해당됩니다. 웹 서버. XST는 쿠키에 " ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 취약점 점검이나 모의해킹을 하다 보면 SQL Injection, XSS 등 테스트를 할 경우 싱글 쿼터가 필터링되어 이를 아스키로 변환 후 테스트를 해야 하는 경우가 있습니다. 자동화 공격 시에는 쉽게 공격이 가능하지만 수동으로 테스트 할시에는 일일이 아스키코드표를 참조하여 변환하는 일이 번거롭고 불편할 것입니다. 여기에서는 버프스위트 (Burp Suite)를 통하여 조금 더 쉽게 변환하는 방법을 알아보도록 하겠습니다. 버프 스위트에서 변환하고자 하는 값을 선택하고 마우스 우클릭을 한 후 "Convert select..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Cross-Origin Resource Sharing (AJAX) Ajax(Asynchronous JavaScript and XML)란 빠르게 동작하는 동적인 웹 페이지를 만들기 위한 개발 기법의 하나입니다. 웹 페이지 전체를 다시 로딩하지 않고도, 웹 페이지의 일부분만을 갱신할 수 있습니다. 즉 Ajax를 이용하면 백그라운드 영역에서 서버와 통신하여, 그 결과를 웹 페이지의 일부분에만 표시할 수 있습니다. SOP (동일 출처 정책 same-origin policy)는 웹 애플리케이션의 중요한 보안 모델입니..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Nmap(Network Mapper)은 공개용 네트워크 포트 스캐너로 대상 서버에서 운영 중인 네트워크 관련 서비스를 점검할 수 있다. 홈페이지 취약점 점검 시 가장 기본적으로 실행하는 도구입니다. Nmap Cheat Sheet (PDF 파일로도 다운이 가능합니다) - https://www.stationx.net/nmap-cheat-sheet/ Nmap script 인 NSE는 nmap을 통해 네트워크 스캔을 진행하거나, 취약점 진단을 수행할 때 유용하게 쓰일 수 있는 스크립트입니다. Lua로 작성되어 있으며 nma..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Cross-Domain Policy File (Flash) Flash cross-domain policy Flash 도메인 간 정책은 다른 도메인에서 실행되는 Flash 클라이언트 구성 요소가 정책을 게시하는 도메인과 양방향 상호 작용을 수행할 수 있는지 여부를 제어합니다. 정책에서 다른 도메인을 허용하는 경우 해당 도메인은 잠재적으로 애플리케이션 사용자를 공격할 수 있습니다. 사용자가 응용 프로그램에 로그인하고 정책에서 허용하는 도메인을 방문하면 해당 도메인에서 실행 중인 모든 악성 콘텐츠가 로그인한 사용..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Arbitrary File Access (Samba) 삼바(samba)는 Windows 운영체제를 사용하는 PC에서 Linux 또는 UNIX 서버에 접속하여 파일이나 프린터를 공유하여 사용할 수 있도록 해 주는 소프트웨어입니다. SMB(Server Message Block)는 도스나 윈도우에서 파일이나 디렉터리 및 주변 장치들을 공유하는 데 사용되는 메시지 형식입니다. NetBIOS는 SMB 형식에 기반을 두고 있으며, 많은 네트워크 제품들도 SMB를 사용합니다. 이러한 SMB 기반의 네트워크에는 랜 매니저..

OWASP TOP 10이란 Open Web Application Security Project에 따라 악용가능성, 탐지가능성 및 영향에 대해 빈도수가 높고 보안상 영향을 크게 줄 수 있는 10가지 웹 애플리케이션 보안 취약점 목록입니다. OWASP Top 10 목록은 3~4년에 한번씩 정기적으로 업데이트 됩니다. OWASP 2021 목록 A01 : Broken Access Control (접근 권한 취약점) 엑세스 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책을 시행합니다. 만약 엑세스 제어가 취약하면 사용자는 주어진 권한을 벗어나 모든 데이터를 무단으로 열람, 수정 혹은 삭제 등의 행위로 이어질 수 있습니다. A02 : Cryptographic Failures (암호화 오류) Sensitive ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Security Misconfiguration Security Misconfiguration (보안설정오류) 애플리케이션 스택의 적절한 보안 강화가 누락되었거나 클라우드 서비스에 대한 권한이 적절하지 않게 구성되었을 때, 불필요한 기능이 활성화되거나 설치되었을 때, 기본 계정 및 암호화가 변경되지 않았을 때, 지나치게 상세한 오류 메시지를 노출할 때, 최신 보안 기능이 비활성화되거나 안전하지 않게 구성되었을 때 발생합니다. 개요 Security Misconfiguration은 OWASP 2017 6위에서 O..