아임노드

SAST(Static Application Security Testing)- 애플리케이션 코드를 분석하여 보안 취약점을 검색하는 정적 분석 도구- sonar와 같은 도구가 있지만 요즘은 GPT로 많이 사용 DAST(Dynamic Application Security testin)- 애플케이션에 실제 데이터를 주입하여 애플리케이션을 분석하여 보안 취약점을 검색하는 동적 분석 도구- 주요 도구 4가지 ㄴ Burpsuite (pro) ㄴ Nikto ㄴ OWASP-ZAP ㄴ 아큐네틱스(Acunetix) IAST(Interactive Application Security Testing)- 정적 분석 및 동적 분석을 결합하여 사용하는 분석 도구- 개념적으로는 있지만 실제 두개가 결합된 도구는 아직까지 없음- 굳이 ..

강의 시간때 잠깐 SK쉴더스 담당자님과 운영 매니저님을 포함하여 함께 상담을 진행했다.짤막한 상담 끝에 이상하게 묘한 동기부여를 받았다. 이번 상담을 이런 것을 위한 것이였나..이제 한달 정도 고생했으니 격려파워~받아라!하는 취지였는지 모르겠지만 무심하게 던져주는 말들이 참 감사했다.이 많은 인원과 한 명 한 명 이야기하는게 정말 힘든 일일텐데 바쁜 시간 내주셔서 감사드린다. 으쟈으쟈더 열심히 하자  오늘도 데이터3법과 정보보호 강의를 이어서 진행했다.가명정보 처리 가이드라인을 쭉 보면서 설명해주셨기 때문에여기서 다시 참고하면 좋다.   그 외 금융분야 가명/익명처리 안내서도 참고안으로 활용할 수 있다. 엑셀에 대한 간단한 예제들도 훑어봤다.그동안 간단한 함수만 알고 있었는데Aggregate처럼 옵션을 ..

OverTheWire BanditLevel 12 -> Level 13  목표 : 파일 유형에 맞게 압축을 해제하여 패스워드를 찾는다. 임시 디렉토리 생성 및 파일 복사Hexdump 복원파일 압축 유형 확인유형에 맞는 압축 파일 해제 풀이 방법  1. bandit12 서버 접속ssh bandit12@bandit.labs.overthewire.org -p 2220  2. 임시 디렉토리 생성 및 파일 복사이번 레벨은 문제를 잘 읽어봐야 한다. 제시하는 것들이 많기 때문.먼저 파일이 Hexdump(16진수 데이터)로 표현된 상태이므로 먼저 복원을 진행한다. ** 그전에 문제에서 임시 디렉토리를 생성하는게 좋다고 권장하고 있으므로나도 그렇게 진행해본다.임시 디렉토리 생성mktemp -d 임시 디렉토리 생성 후 생..

공부 & 실습을 위한 환경구축으로 아래 프로세스를 모두 충족해야 실습이 가능하다.환경구축 #1 sudo su cd Desktop 파이어폭스에서 pentestlab git 검색-> 깃허브 페이지로 접속-> Code HTTPS 주소 복사 git clone 깃허브주소-> 복사한 주소 '깃허브주소'로 붙여넣기-> 깃에 있는 파일이 로컬로 다운로드 됨 apt update -> 칼리가 가지고 있는 라이브러리랑 목록  패키지 업데이트 apt install docker.io -y -> 도커 설치 -> -y는 저절로 설치햐줌 docker -> 설치 완료후 실행되는지 확인 cd pentestlab -> pentestlab으로 이동 ./pentestlab.sh list -> 설치 리스트 보기 ./pentestlab.sh s..

내가 월요병이 있으면 안되는데, 같은 시간 잠을 자고 일어나도 월요일은 유독 피곤하다!  이번주차에 새롭게 데이터 3법과 개인정보보호 강의로 들어갔다. 데이터3법에 대해서는 처음 들어봤다.마이데이터써본 적이 있는데, 이런 것과 관련된 법들을 배우는 것!국가데이터정책위원회가 따로 지정해서 있을 정도로데이터에 관련된 사안들이 중요해졌다. 데이터 3법 개정 주요 내용 (외우는 방법, ㄱㅁㅅ)개 : 개인정보보호법 (일반법)망 : 정보통신망법(특별법)신 : 신용정보법 (특별법) 가명정보에 대해서도 알아봤는데 가명정보에 대해서 이렇게나 디테일하게분석되어지고 활용되는지는 알지 못했는데, 이번 강의를 통해 많이 알아갔다. 오늘 알아가기 가명정보 관련 제도 이해가명정보 개념 이해가명정보 가이드라인 이해가명처리 및 결합 ..

OWASP Top 10 이란 무엇인가?Open Web Application Security Project(OWASP)에서 발표하는웹 애플리케이션에서 가장 일반적인 보안 취약점 10가지를 설명하는 목록 (가이드) 2021년 가장 많은 취약순 A01:2021 - 손상된 액세스 제어-> 허용하지 않는 경로로 접근할 수 있는 것 (경로 순회)-> 권한이 없는 파일에 접근하는  A02:2021 - 암호와 실패- 약한 알고리즘을 사용해서 발생- 암호에 약한 인코딩(URL, HTML, Base64)- 민감한 정보가 일반 텍스트로 전송되는 경우- 하드 코딩된 암호화 키- 암호화 강도가 낮음  A03:2021 - injection (주로 SQL injection)  A04:2021 - 불안정한 디자인- 설계 상의 문제 ..

주말에 시간 비워두려고 하는데뭔가 자꾸 일정이 생기는지?  공부하면서 알게 된 것들 중.. 리눅스 창에 팝업 형태로 창이 뜨는 경우가 있다.마우스로 아무리 ok 누르고, Enter를 쳐도 안넘어감..이럴 때 Tab(탭) 키를 누르자!!!!탭탭탭탭 이걸 몰라서 별것도 아닌걸로 한참을 헤맸다. > 중단된 dpkg 작업을 복구 명령어sudo dpkg --configure -a

알바 사장님이 금요일에 사람이 많으니한시적으로 한시간만 연장근무 할 수 있냐고 물으셨다.바쁘고 피곤한거 알아서 물어볼까말까 고민을 많이 하셨다고 한다.음!돈안받고 그냥 연장한다고 했다.가게 사장님이 정말 많이 챙겨주시고 워낙에 날 예뻐해주셔서 솔직히 받은게 훠어얼씬 많기 때문이다.그리고 어짜피 다음날은 토요일이니 학업에도 큰 지장이 갈 것 같지 않다는 판단이었다.발표날이다.결론적으로 완벽하다곤 할 순 없지만사적인 감정 다빼도 우리 조가 제일 잘한 것 같다.많이 배우고 느끼고 간 것이 많다.다들 수업으로 바쁜데도 꼬박꼬박 잘 참여해주었다.힘들지만 재밌었던 첫 팀플!앞으로도 잘 해낼 수 있을 것 같다. 그리고 해킹/보안 공부를 좀 더 열중하기로 해서이것저것 자료를 찾아보기로 했다.비록 난 팀플에서 문서 작성..

드디어 목요일!! 금요일 오후에 바로 발표에 들어가다보니오늘은 하루종일 보고서 보고서 보고서 작성..보고서는 왜 써도 써도 계속 고쳐지게 되고서식이나 색깔 또한 다시보면 마음에 안드는지..레이아웃이랑 줄간격도 통일성 있게 잘 맞춰야 하고글씨 크기나 색상도 제목/부제목별로 깔끔하게 맞춰야 속이 풀리는 성격인지라내용은 다 채웠어도 이런 자잘한거에 신경을 많이 썼다.다른 사람이 봤을 때 거슬리는게 없어야 한다. 보고서는!!그래도 다들 노력한게 보상을 받는건지 우리 조가 칭찬을 받았다.특히 마음이 놓였던게 AWS 다이어그램 구상할때 자료를 엄청 찾아보고머리 쥐어짜면 구상했는데 다행히도 예로 보여주신 다이어그램이 우리 것과 상당부분 일치했다!그 외 추가한 부분도 잘 맞게 구상했는지 강사님이 그 부분도 찝어주셨다...

오늘 일어나니까 눈이 아주 펑펑 온다!!이번년도 첫 눈!사실 나는 새벽에 일끝내고 이미 왕창 눈&비를 맞고 왔다...ㅎ눈이 와서 기분이 좋은 나이는 아닌지라..집에만 있었으면 사랑했을 눈💟  모듈 프로젝트 3일차다.1유형에 대한 보고서 작성하고, AWS 구성도 구상하는데 머리 빠지는 줄 알았다.이 서비스들이 어떻게 유기적으로 연결되는지 세부적으로 알아야 해서정~말 많은 자료들을 찾아봤다.딱 대응되는 것은 없었기에 다시 팀원들이 작성한 보고서의 세부 항목들 봐가면서나름 여차저차 구상했다. AWS 다이어그램에는 정답이 없다고 했느니팀원들과 내가 대략적으로 이해만 하면 되지 않겠는가..ㅎㅎ