태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - Text Files (Accounts) 개인 정보 및 서버의 중요 정보 데이터가 파일 및 다운로드가 가능하다면 주된 공격 대상이 됩니다. 난이도 하 insecure_crypt_storage_2.php 페이지를 살펴보면 로그인이 가능합니다. bee 계정으로 로그인 시 'The account was added!'라는 메시지와 함께 아라에 파일을 다운로드하거나 삭제할 수 있는 링크가 생성이 됩니다. Download 링크를 클릭하면 계정 정보가 있는 accounts.txt 파일로 이동하고 해당 파일을 확인해 보면 ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - POODLE Vulnerability POODLE 공격(Padding Oracle on Downgraded Legacy Encryption)은 SSL 3.0 프로토콜(CVE-2014-3566)의 취약점을 악용합니다. 이 취약점으로 인해 공격자는 SSLv3을 사용하여 암호화된 통신을 도청할 수 있습니다. SSLv3 및 CBC 암호 모드 SSLv3는 데이터를 암호화/복호화하고 보호하는 프로토콜입니다. 우리의 경우 그는 CBC 암호 모드 체이닝 을 사용합니다. 평문은 암호화 알고리즘(AES, DES, 3DES)과..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - Clear Text HTTP (Credentials) Clear Text는 암호화되지 않은 일반 텍스트를 뜻합니다. 일부 응용 프로그램은 암호화되지 않은 연결을 통해 암호를 전송하므로 가로채기에 취약합니다. 이 취약점을 악용하려면 공격자가 피해자의 네트워크 트래픽을 도청할 수 있는 적절한 위치에 있어야 합니다. 사용자의 비밀번호가 노출되는 취약점은 감사 추적이 모호하여 조사하기 매우 어려운 손상을 초래할 수 있습니다. 응용 프로그램 자체에서 중요하지 않은 정보만 처리하더라도 암호를 노출하면 다른 곳에서 암호..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - BEAST/CRIME/BREACH Attacks BEAST 공격 TLS(전송 계층 보안) 프로토콜은 SSL(Secure Sockets Layer)의 후속입니다. 둘 다 다른 암호 제품군을 사용하여 웹 브라우저와 웹 서버 간의 통신을 암호화할 수 있는 암호화 프로토콜입니다. 이것은 누군가가 통신을 듣고 기밀 데이터를 훔치는 것을 불가능하게 만듭니다. 공격자는 메시지 가로 채기(man-in-the-middle) 공격 기술을 사용하여 웹 서버와 웹 브라우저 간의 대화에 접근할 수 있습니다. 암호화가 없는 경우 웹..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - Base64 Encoding (Secret) Base64 인코딩은 8Bit의 이진 데이터를 64진수 문자 코드에 영향을 받지 않는 공통 ASCII 영역의 문자들로만 이루어진 일련의 문자열로 바꾸는 인코딩 방식을 가리키는 개념입니다. 난이도 하 insecure_crypt_storage_3.php 페이지를 살펴보면 비밀은 암호화된 쿠키로 저장되어 있다는 메시지를 확인할 수 있습니다. 그럼 크롬의 확장 프로그램인 EditThisCookie를 사용하여 쿠키값을 살펴 보도록 하겠습니다. EditThisCookie를 ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - Sensitive Data Exposure OWASP에서는 이전에 민감한 데이터 노출로 알려진 2번으로 한 위치를 옮기며 근본 원인보다는 광범위한 증상에 더 가깝습니다. 초점은 암호화와 관련된 실패(또는 그 부족)에 있습니다. 이는 종종 민감한 데이터의 노출로 이어집니다. 포함된 주목할만한 CWE(Common Weakness Enumerations)에는 CWE-259: 하드 코딩된 암호 사용 , CWE-327: 손상되거나 위험한 암호화 알고리즘 및 CWE-331 불충분한 엔트로피가 있습니다. 설명 첫 번째는..