태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - BEAST/CRIME/BREACH Attacks BEAST 공격 TLS(전송 계층 보안) 프로토콜은 SSL(Secure Sockets Layer)의 후속입니다. 둘 다 다른 암호 제품군을 사용하여 웹 브라우저와 웹 서버 간의 통신을 암호화할 수 있는 암호화 프로토콜입니다. 이것은 누군가가 통신을 듣고 기밀 데이터를 훔치는 것을 불가능하게 만듭니다. 공격자는 메시지 가로 채기(man-in-the-middle) 공격 기술을 사용하여 웹 서버와 웹 브라우저 간의 대화에 접근할 수 있습니다. 암호화가 없는 경우 웹..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - Base64 Encoding (Secret) Base64 인코딩은 8Bit의 이진 데이터를 64진수 문자 코드에 영향을 받지 않는 공통 ASCII 영역의 문자들로만 이루어진 일련의 문자열로 바꾸는 인코딩 방식을 가리키는 개념입니다. 난이도 하 insecure_crypt_storage_3.php 페이지를 살펴보면 비밀은 암호화된 쿠키로 저장되어 있다는 메시지를 확인할 수 있습니다. 그럼 크롬의 확장 프로그램인 EditThisCookie를 사용하여 쿠키값을 살펴 보도록 하겠습니다. EditThisCookie를 ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - Sensitive Data Exposure OWASP에서는 이전에 민감한 데이터 노출로 알려진 2번으로 한 위치를 옮기며 근본 원인보다는 광범위한 증상에 더 가깝습니다. 초점은 암호화와 관련된 실패(또는 그 부족)에 있습니다. 이는 종종 민감한 데이터의 노출로 이어집니다. 포함된 주목할만한 CWE(Common Weakness Enumerations)에는 CWE-259: 하드 코딩된 암호 사용 , CWE-327: 손상되거나 위험한 암호화 알고리즘 및 CWE-331 불충분한 엔트로피가 있습니다. 설명 첫 번째는..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Robots File robots.txt 파일은 페이지에 대한 접근 권한을 설정하는 파일로, 웹 크롤러의 접근 범위를 설정할 수 있습니다. User-agent : * --> 검색로봇을 설정, *은 모든 로봇을 의미 Allow:/폴더명/ --> 지정된 폴더에 대한 접근을 허용 Disallow:/폴더명/ --> 지정된 폴더에 대한 접근을 거부 User-agent: * Disallow: / 모든 검색로봇에 대해 웹사이트 접근 차단 User-agent: Googlebot User-agent: bingbot Allo..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Old, Backup & Unreferenced Files 디렉토리 리스팅 (Directory Listing)은 서버의 취약한 설정으로 인하여 웹 서버의 파일, 디렉토리 구조를 노출하는 것을 말합니다. sm_obu_files.php 페이지는 백업 파일 및 참조되지 않은 파일을 찾는 디렉토리 리스팅에 관련된 문제입니다.

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Man-in-the-Middle Attack (HTTP) 중간자 공격(man in the middle attack, MITM)은 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법입니다. 중간자 공격은 통신을 연결하는 두 사람 사이에 중간자가 침입하여 내용을 도청하거나 조작할 수 있습니다. 두 사람은 상대방에게 연결했다고 생각하지만 실제로는 두 사람은 중간자에게 연결되어 있으며 중간자가 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달한다. 스니핑(Sniffing)이란 ‘코를 킁킁..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Denial-of-Service (XML Bomb) 서비스 거부 공격(denial-of-service attack, DoS attack) 또는 디오에스 공격/도스 공격(DoS attack)은 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 분산 서비스 거부 공격(Distributed DoS attack, DDoS attack, 디도스 공격)은 다수의 시스템을 통해 공격을 시도하며 다양한 방법을 통해 동시에 공격하기도 한다. XML DoS 공..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Denial-of-Service (Slow HTTP DoS) 서비스 거부 공격(denial-of-service attack, DoS attack) 또는 디오에스 공격/도스 공격(DoS attack)은 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 분산 서비스 거부 공격(Distributed DoS attack, DDoS attack, 디도스 공격)은 다수의 시스템을 통해 공격을 시도하며 다양한 방법을 통해 동시에 공격하기도 한다. Slow..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Denial-of-Service (Large Chunk Size) Chunk는 PNG , IFF , MP3 및 AVI와 같은 많은 멀티미디어 파일 형식에서 사용되는 정보 조각입니다 서비스 거부 공격(denial-of-service attack, DoS attack) 또는 디오에스 공격/도스 공격(DoS attack)은 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 분산 서비스 거부 공격(Distributed DoS attack, DDoS ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Cross-Site Tracing (XST) 교차 사이트 추적 (Cross-Site Tracing XST) 공격 에는 XSS(교차 사이트 스크립팅) 및 TRACE 또는 TRACK HTTP 메서드의 사용이 포함됩니다. RFC 2616에 따르면 "TRACE를 사용하면 클라이언트가 요청 체인의 다른 쪽 끝에서 수신되는 내용을 확인하고 해당 데이터를 테스트 또는 진단 정보에 사용할 수 있습니다." TRACK 방법은 동일한 방식으로 작동하지만 Microsoft의 IIS에만 해당됩니다. 웹 서버. XST는 쿠키에 " ..