ilsancityboy

8. Directory Indexing (디렉토리 인덱싱) 취약점 실습 환경  aws ec2에 그누보드 5.0.6버전을 올려두고 해당 사이트 내에서 주통기 웹 항목을 하나하나 진단할 것이다.1. 버퍼오버플로우    대량의 문자열을 입력하려 해도 적정량의 문자가 입력되며 더이상 적히지않는다. 제한값이 있는것으로 추정되는데 이 제한값을 넘어 더많은 문자열을 전달하기위해 burp suite를 사용해서도 테스트 해본다.서버로 전달되는 id입력칸을 중간에 가로채 더많은 문자열을 입력하여 전달  딱히 에러페이지가 나오지는 않고 적절히 필터링되어 처리되는 것 같아보임.(취약점 X)   로그인 후 회원정보 수정 입력페이지에서도 똑같이 오버플로우 시도 이 회원정보 수정페이지에서는 오버플로우 취약점이 발견되지 않았지만 이..

블랙박스 웹 보안 진단을 위해 Windows 로컬 환경에서 AWS EC2(리눅스)에 배포된 그누보드 서버를 대상으로 진행하는 과정입니다. 첫 번째 단계로 ffuf를 사용한 디렉토리 및 파일 탐색을 실시했습니다. 아래는 전체적인 설치와 단계별 설명입니다. 먼저 XAMPP + 그누보드를 AWS ec2(리눅스) 에 올려두어 간단하게 커뮤니티 웹 사이트를 열어두었다.이 사이트를 대상으로 블랙입장에서 서버내부 정보없이 각종 공격을 해 취약점 진단을 할 것이다. 첫 번째 단계로 ffuf를 사용한 디렉토리 및 파일 탐색을 실시했다.ffuf는 웹 애플리케이션의 숨겨진 디렉토리와 파일을 탐색하는 브루트포싱 도구이다.naver/loginnaver/join등등 url에 미리 준비된 단어들을 바꿔가며 요청을 보냄으로써 존재하..

정보보안기사 필기 기출문제 및 CBT 2022년 06월 25일  정보보안기사 필기 기출문제 및 CBT 2022년 06월 25일 - 정보보안기사 필기 기출문제 전자문제집 CBT위 이미지를 클릭하시면 전자문제집 CBT 서버에 접속 됩니다. (해설, 모의고사, 오답노트, 워드, 컴활, 기능사 등 상설검정 CBT 프로그램 기능 포함) 전자문제집 CBT란? 인터넷으로 문제를 풀고 자동www.comcbt.com

동적 권한 관리 시스템 프로젝트 정리 프로젝트 주제: 동적 권한 관리 시스템 개발 목적: 실시간으로 사용자의 상황에 따라 자동으로 권한을 부여하고 회수하는 시스템을 구축하여 보안을 강화하고 개인정보 유출을 방지. 핵심 기능: 상황 기반 권한 부여: 사용자의 위치, 시간, 네트워크 상태, 행동 패턴에 따라 권한이 자동으로 조정. AI 기반 이상 행위 탐지: 사용자의 비정상적인 행동을 감지하고 즉각적으로 권한을 제한. 실시간 모니터링 및 경고: 권한 변경 상황을 실시간으로 추적하고 이상 행동 감지 시 경고 알림 발송. 구현 방법 및 역할 분담 (6명, 1개월) 총괄(1명): 팀 간 커뮤니케이션 및 일정 관리. 프로젝트 전반적인 진행 상황 모니터링 및 통합. +@ 발표 및 ppt 백엔드 개발팀(2명): 백엔드..

이번 글에서는 흔히 많이 보았던 http와 https 에 대해서 알아볼 것이다. HTTP ( HyperText Transfer Protocol ) http는 인터넷을 통해 데이터를 주고받기 위한 프로토콜이다. 데이터를 평문으로 (암호화 하지 않은 텍스트) 전송하기 때문에 도청당할 수 있고 보안에 취약하다. HTTPS (HyperText Transfer Protocol Secure) https는 http 의 보안 버전으로 데이터를 암호화 하여 보호한다. 이를 위해 SSL (Secure Sockets Layer) , TLS (Transport Layer Security) 프로토콜을 사용한다. SSL,TLS ? SSL 이라는 프로토콜을 넷스케이프에서 만들었는데 어느날 표준화가 되었고 표준화가 되며 이름이 TL..

MVC 패턴이란 무엇인가? MVC 패턴은 소프트웨어 개발에서 사용되는 디자인 패턴 중 하나로, 소프트웨어를 구성하는 세 가지 주요 컴포넌트를 나타냅니다 Model (모델): 이 부분은 데이터와 데이터의 처리를 담당합니다. 데이터는 어플리케이션의 상태나 정보를 나타내며, 모델은 이 데이터를 관리하고 조작하는 역할을 합니다. View (뷰): 뷰는 사용자 인터페이스(UI)를 나타냅니다. 이 부분은 사용자에게 정보를 표시하고 사용자의 입력을 받는 역할을 합니다. 뷰는 모델의 데이터를 시각적으로 표현합니다. Controller (컨트롤러): 컨트롤러는 모델과 뷰 사이의 중개자 역할을 합니다. 사용자의 입력을 받아 모델의 데이터를 업데이트하거나, 모델의 상태에 따라 뷰를 업데이트하는 역할을 수행합니다. MVC 패..

이번 글에서는 코드펜 (https://codepen.io/) 사이트에 대해 알아보고 활용할 것이다. 먼저 사이트에 접속해보자. 해당 사이트에서는 HTML , CSS , JS 를 실시간으로 테스팅할 수 있다. 왼쪽에 Start Coding을 눌러보면 HTML , CSS , JS 문서를 입력할 수 있는 공간이 나오고 결과물이 출력되는 공간이 나온다. 입력시에 바로바로 미리볼 수 있게끔 출력이 된다. 또한 코드펜에 활용성은 여기서 끝나지 않고 남들이 공유한 결과물을 보고 가져올 수 있다. 코드펜 메인페이지의 검색창에 원하는 카테고리를 입력해 검색해보자. 작성자는 login 을 검색해보았다. 그럼 login 카테고리와 연관된 결과물들이 나오는데 여기서 맘에드는 결과물을 클릭해 해당 페이지를 만들때 사용된 HTM..

이번 글에서는 JS (javascript) 에 대해서 알아볼 것이다. 앞에서 배운대로 HTML 과 CSS를 사용해서 로그인 페이지를 뼈대만 구현해냈다. 그럼 로그인 기능을 구현하기 위해 동작을 담당하는 JS를 사용한다. 기본 구조 JS의 기본 구조이다. head나 body에 스크립트를 정의하던가 JS 확장자로 파일을 만들어 HTML 에 연동시킬수 있다. C언어나 파이썬과 비슷하게 사용된다. 사용자가 웹 페이지에서 어떠한 행동을 해서 이벤트를 발생시켰을때 어떤 결과를 반환시킬지 만들수 있다. 지난글에서 HMTL 문서 내에서 어떠한 요소에 id를 주었었는데 이 id를 찾아와 행동을 줄 수 있다. document.getElementById('myButton') - id가 'myButton'인 요소를 찾아온다...

지난 글에서는 HTML 로 로그인 페이지 뼈대를 만들어 보았다. 이번 글에서는 HTML 메인 페이지와 CSS로 페이지를 조금 더 꾸며본다. 메모장을 열어 HTML 문서를 작성후에 .HTML 형태로 저장후 브라우저에서 열면 그대로 실행이 된다. 따라서 오늘은 해당 방법으로 진행 할 것이다. 메인 페이지를 만들고 로그인 버튼 이미지를 삽입 후 해당 이미지를 누르면 로그인 페이지로 이동시키기. 로그인 페이지에서 로고버튼을 누르면 다시 메인페이지로 이동시키기 먼저 웹 사이트에 띄워볼 이미지를 얻어와 test.jpg라는 이름으로 저장해두고 같은 경로에 test.txt로 텍스트 파일(메모장) 을 하나 만들었다. 그 후 test.txt에 html 문서를 작성할 것이다. 이미지 삽입 태그 이미지를 삽입하는 방법이다. ..

지난 글에서 HTML 기본 구조에 대해 알아보았다. 이번 글에서는 HTML 문서에 폼을 작성해 아이디를 받아내는 폼 , 비밀번호를 받아내는 폼 , 로그인 버튼을 만들어 간단하게 실제로 동작하진 않지만 뼈대만을 생성해 그럴싸한 로그인 페이지를 만들어보겠다. 여기서 폼(Form) 이란? 웹 페이지에서 사용자로부터 정보를 입력받아 서버로 보내 처리하거나 클라이언트에서 처리해주는 도구이다. HTML의 폼(form) 요소는 다음과 같은 구조를 가진다. action - 사용자로부터 입력받은 정보를 어떤 서버스크립트나 웹페이지로 전송할지 지정해주는 요소이다. method - HTTP 요청 메서드를 설정한다. 일반적으론 "GET" 이나 "POST"를 사용한다. GET은 데이터를 URL에 추가하여 전송하고 POST는 요..