아임노드

burpsuite 및 진단 도구 설치가 완료되었다는 전제하에 실시한다.(아래 페이지 참고) 깃에 있는 파일이 로컬로 다운로드 됨 apt update -> 칼리가 가지고 " data-og-host="imnode.tistory.com" data-og-source-url="https://imnode.tistory.com/94" data-og-url="https://imnode.tistory.com/94" data-og-image="https://scrap.kakaocdn.net/dn/SmLFa/hyXGzXNsl6/iOCu4KjSVcHGMvEMN7LlUk/img.png?width=800&height=800&face=0_0_800_800,https://scrap.kakaocdn.net/dn/W0lh4/hyXGJF..

OverTheWire BanditLevel 13 -> Level 14  목표 : 비밀키를 확인하고 이를 활용해 서버에 접속하는 방법을 알아본다. 비밀키 확인하고 비밀키를 사용하여 bandit14 접속지정된 파일 경로를 따라 패스워드 찾기 풀이 방법  1. bandit13 서버 접속ssh bandit13@bandit.labs.overthewire.org -p 2220  2. 비밀키(프라이빗 키) 확인ls -al을 사용하면 맨 아래에 파일을 보면권한 : -rw-r-----소유자 : bandit14 ( 이 파일의 소유자는 bandit14이므로, bandit14 사용자만 파일을 읽거나 수정할 수 있다.)그룹 : bandit13 (이 파일이 bandit 13그룹에 속해있다.(읽기만 가능))파일이름 : sshkey..

OT 이후에 첫 오프라인 모임이다. 전철로 판교역이 멀지 않아서 출근길임에도 크게 밀리지 않고 왔다.(혹시 늦을까봐 두시간이나 일찍 나옴..)OT때 만났던 사람들과 또 보니 반갑고 모듈 프로젝트 때 팀원들 얼굴도 간간히 보였다.다 인사하고 싶었는데 화면으로 보다가 실제로 보니 긴가민가해서 못한 경우도 있었다..;암튼 다들 너무너무 반가웠다! 역시 난 오프라인이 좋다.회사 내부 사진을 멋대로 올리면 안될 것 같아서 별도의 사진을 찍진 않았지만2층에 있는 대강당에서 대부분의 프로그램이 이루어져 이때 사진 하나를 올려본다!각 직무별 내용을 듣다보니 염두에 두지 않았던 직무도 흥미를 가지게 된다.역시 아는만큼 보인다!어짜피 이번주내로 보고서를 작성해야 하니 여기엔 읽었을 때 도움될 만한몇 가지 내용만 간단히 작..

SAST(Static Application Security Testing)- 애플리케이션 코드를 분석하여 보안 취약점을 검색하는 정적 분석 도구- sonar와 같은 도구가 있지만 요즘은 GPT로 많이 사용 DAST(Dynamic Application Security testin)- 애플케이션에 실제 데이터를 주입하여 애플리케이션을 분석하여 보안 취약점을 검색하는 동적 분석 도구- 주요 도구 4가지 ㄴ Burpsuite (pro) ㄴ Nikto ㄴ OWASP-ZAP ㄴ 아큐네틱스(Acunetix) IAST(Interactive Application Security Testing)- 정적 분석 및 동적 분석을 결합하여 사용하는 분석 도구- 개념적으로는 있지만 실제 두개가 결합된 도구는 아직까지 없음- 굳이 ..

강의 시간때 잠깐 SK쉴더스 담당자님과 운영 매니저님을 포함하여 함께 상담을 진행했다.짤막한 상담 끝에 이상하게 묘한 동기부여를 받았다. 이번 상담을 이런 것을 위한 것이였나..이제 한달 정도 고생했으니 격려파워~받아라!하는 취지였는지 모르겠지만 무심하게 던져주는 말들이 참 감사했다.이 많은 인원과 한 명 한 명 이야기하는게 정말 힘든 일일텐데 바쁜 시간 내주셔서 감사드린다. 으쟈으쟈더 열심히 하자  오늘도 데이터3법과 정보보호 강의를 이어서 진행했다.가명정보 처리 가이드라인을 쭉 보면서 설명해주셨기 때문에여기서 다시 참고하면 좋다.   그 외 금융분야 가명/익명처리 안내서도 참고안으로 활용할 수 있다. 엑셀에 대한 간단한 예제들도 훑어봤다.그동안 간단한 함수만 알고 있었는데Aggregate처럼 옵션을 ..

OverTheWire BanditLevel 12 -> Level 13  목표 : 파일 유형에 맞게 압축을 해제하여 패스워드를 찾는다. 임시 디렉토리 생성 및 파일 복사Hexdump 복원파일 압축 유형 확인유형에 맞는 압축 파일 해제 풀이 방법  1. bandit12 서버 접속ssh bandit12@bandit.labs.overthewire.org -p 2220  2. 임시 디렉토리 생성 및 파일 복사이번 레벨은 문제를 잘 읽어봐야 한다. 제시하는 것들이 많기 때문.먼저 파일이 Hexdump(16진수 데이터)로 표현된 상태이므로 먼저 복원을 진행한다. ** 그전에 문제에서 임시 디렉토리를 생성하는게 좋다고 권장하고 있으므로나도 그렇게 진행해본다.임시 디렉토리 생성mktemp -d 임시 디렉토리 생성 후 생..

공부 & 실습을 위한 환경구축으로 아래 프로세스를 모두 충족해야 실습이 가능하다.환경구축 #1 sudo su cd Desktop 파이어폭스에서 pentestlab git 검색-> 깃허브 페이지로 접속-> Code HTTPS 주소 복사 git clone 깃허브주소-> 복사한 주소 '깃허브주소'로 붙여넣기-> 깃에 있는 파일이 로컬로 다운로드 됨 apt update -> 칼리가 가지고 있는 라이브러리랑 목록  패키지 업데이트 apt install docker.io -y -> 도커 설치 -> -y는 저절로 설치햐줌 docker -> 설치 완료후 실행되는지 확인 cd pentestlab -> pentestlab으로 이동 ./pentestlab.sh list -> 설치 리스트 보기 ./pentestlab.sh s..

내가 월요병이 있으면 안되는데, 같은 시간 잠을 자고 일어나도 월요일은 유독 피곤하다!  이번주차에 새롭게 데이터 3법과 개인정보보호 강의로 들어갔다. 데이터3법에 대해서는 처음 들어봤다.마이데이터써본 적이 있는데, 이런 것과 관련된 법들을 배우는 것!국가데이터정책위원회가 따로 지정해서 있을 정도로데이터에 관련된 사안들이 중요해졌다. 데이터 3법 개정 주요 내용 (외우는 방법, ㄱㅁㅅ)개 : 개인정보보호법 (일반법)망 : 정보통신망법(특별법)신 : 신용정보법 (특별법) 가명정보에 대해서도 알아봤는데 가명정보에 대해서 이렇게나 디테일하게분석되어지고 활용되는지는 알지 못했는데, 이번 강의를 통해 많이 알아갔다. 오늘 알아가기 가명정보 관련 제도 이해가명정보 개념 이해가명정보 가이드라인 이해가명처리 및 결합 ..

OWASP Top 10 이란 무엇인가?Open Web Application Security Project(OWASP)에서 발표하는웹 애플리케이션에서 가장 일반적인 보안 취약점 10가지를 설명하는 목록 (가이드) 2021년 가장 많은 취약순 A01:2021 - 손상된 액세스 제어-> 허용하지 않는 경로로 접근할 수 있는 것 (경로 순회)-> 권한이 없는 파일에 접근하는  A02:2021 - 암호와 실패- 약한 알고리즘을 사용해서 발생- 암호에 약한 인코딩(URL, HTML, Base64)- 민감한 정보가 일반 텍스트로 전송되는 경우- 하드 코딩된 암호화 키- 암호화 강도가 낮음  A03:2021 - injection (주로 SQL injection)  A04:2021 - 불안정한 디자인- 설계 상의 문제 ..

주말에 시간 비워두려고 하는데뭔가 자꾸 일정이 생기는지?  공부하면서 알게 된 것들 중.. 리눅스 창에 팝업 형태로 창이 뜨는 경우가 있다.마우스로 아무리 ok 누르고, Enter를 쳐도 안넘어감..이럴 때 Tab(탭) 키를 누르자!!!!탭탭탭탭 이걸 몰라서 별것도 아닌걸로 한참을 헤맸다. > 중단된 dpkg 작업을 복구 명령어sudo dpkg --configure -a