private._.

#! /bin/bashgame(){echo "프로그램 실행" echo "1번->구구단 전부출력2번->구구단 입력받은 단 만 출력3번->구구단 입력받은 단 부터 모두출력4번->연습문제4(입력받은 숫자만큼 반복출력)5번->연습문제5(계정 추가/삭제)(경고 : 그 외 입력은 프로그램 종료입니다)"read dancase $dan in 1)echo "1번을 선택하셨습니다"for((i=2; i

1. 필터 검증 없는경우"> 9. 인용 부호 허용되지 않을 때, 자바스크립트 fromcharcode를 eval()해 원하는 XSS 벡터생성10. SRC 도메인 검사하는 과거 필터 가져오는 기본 SRC 태그11. 기본 SRC태그를 비워두고 있는경우12. 오류시 경고를 이용한 자바스크립트13. IMG onerror 및 javascript 경고 인코딩14. 진수 HTML 문자 참고(javascript 지시어를 사용하는 모든 XSS 예제는 Gecko 렌더링 엔진 모드에서 작동X)15. 세미콜론 없는 10진수 HTML 문자 참고(대부분의 사람들이 패딩에 대해 알지 못하기 때문에 XSS에서 "& # XX;"을 찾는 경우 효과적입니다. 최대 7 자까지 가능합니다. 이것은 $ tmp_string = ~ s /.*\ (..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

# BP XSS with JS regular expressionhttps://www.hahwul.com/2017/01/web-hacking-bypass-xssquotation.html # OWASP XSS Cheat Sheethttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet # XSSChallenge Wikihttps://github.com/cure53/XSSChallengeWiki

보호되어 있는 글입니다.

Google XSS game 1.1. Source 1.2. input https://xss-game.appspot.com/level1/frame?query= 1.3. comment 2.1. Source 2.2. input 2.3. comment 3.1. source 3.2. input https://xss-game.appspot.com/level3/frame#1'onerror=alert()// 3.3. comment 4.1. source 4.2. input '); alert(1); var a=(' 4.3. comment 5.1. source 5.2. input javascript:alert(1); 5.3. comment 6.1. source Loading gadget... 6.2. input https:..

드로저(drozer)는 MWR InfoSecurity에서 개발한 모바일 애플리케이션 취약점 진단 프레임워크인 Mercury의 새로운 업데이트 버전이다. 원도우와 리눅스를 지원하며 JRE(Java Runtime Environment), JDK(Java Development Kit), 안드로이드 SDK(Software Development Kit)가 설치되어 있다면 사용할 수 있다. 안드로이드 가상 디바이스 또는 단말기에 에이전트(Agent)를 설치하고 PC에서 ADB로 명령을 내리는 서버와 클라이언트 방식으로 동작한다. 드로저는 가상 디바이스뿐 아니라 실제 안드로이드 디바이스에 테스트가 가능하며 자동화된 테스팅이 가능하다. 또한 안드로이드 익스플로잇을 통한 취약점 진단이 가능하기 때문에 다양한 시나리오를 ..

파이썬 프로그램이란? 자연어 vs 기계어high low 기계어 : 어셈블리어 번역기컴파일러 : C언어, 자바(전체를 번역해서 파일로 저장해서 보여줌)장점 : 기계어로 바꾸고 바로 실행한다, 실행속도빠름, 한번 만들고 바꾸지 않는곳에 사용된다 특히 운영체제, 게임 그래픽등단점 인터프리너(스크립트) : 파이썬(실시간번역)장점 : 번역해서 바로 실행한다, 개발속도가 빠르다단점 : 실행속도 느림 파이썬 장점무료하나의 코드로 다양한 운영체제사용간결함문자열 처리쉬움배우기 쉽다좋은 모듈이 많다(웹, 과학, 엔지니어링, 미디어...)ex) 파이썬 웹개발, 파이썬 데이터사이언스모듈이 있으므로 핵심 아이디어에 집중할 수 있다개발 속도 빠름 파이썬 설치파이썬 환경변수 설정 타입출력문 print부동소수점 float문자열 st..

(참고 : blog.naver.com/chogar/221064193792)Q. 모의해킹 분야에서는 대부분 '이 친구가 들어왔을 때 프로젝트에 투입할 수 있을까?, 기존 팀원들과 잘 어울릴 수 있을까? 팀에서 부족한 것을 채워갈 수 있을까?'를 평가하게 된다.그렇다면, 자신이 회사에 들어갔을 때 그 회사에서 어떤 업무와 역할을 할 수 있는지 강조되어야 한다. 보유하고 있는 기술이 강조되어야 하고, 면접 기회가 주어진다면 면접관에게 이력서에 제출된 기술에 대해 명확하겟 설명해야 한다. 주의할 것은 평가자(면접관)에게 잡힐 수 있는 두리뭉실한 단어를 적어내지 말자.\술보유사항에 제일 문제점이 "시스템 해킹", "네트워크 해킹", "포렌식" 이라고만 적어놓는 사례이다. 평가자 입장에서는 지원자가 "시스템 해킹에..

침입 탐지 시스템(IDS; Intrusion Detection System) - 컴퓨터나 네트워크의 이벤트들을 모니터링하여 침입발생 여부를 탐지하고 대응 - 로컬 네트워크나 호스트에 위치하여 자원의 무결성, 기밀성, 가용성 저해 행위 탐지 - IDS 실행단계 (1) 데이터 수집(Raw Data Collection): 탐지대상으로부터 생성되는 감사 데이터 수집 (2) 데이터 가공 및 축약(Data Reduction and Filtering): 침입 판정 가능하도록 전환 (3) 침입분석 및 탐지: 핵심 단계이며, 비정상적 행위 탐지 기술과 오용 탐지 기술 (4) 보고 및 대응(Reporting and Response): 침입 판정 시 대응, 보안관리자에게 보고 IDS 분류 방법 1. 탐지방법 (1) 지식 기..

비교 연산자(참조 : https://m.blog.naver.com/PostView.nhn?blogId=beabeak&logNo=221326956412&targetKeyword=&targetRecommendationCode=1) [ 정수 비교 ] 연산자의미 표현 -eq(같음)if [ $a -eq $b ]-ne(같지 않음)if [ $a -ne $b ]-gt(보다 큼)if [ $a -gt $b ]-ge(크거나 같음)if [ $a -ge $b ]-lt(보다 작음)if [ $a -lt $b ]-le(작거나 같음)if [ $a -le $b ]>(보다 큼)(($a > $b))>=(크거나 같음)(($a >= $b)) "$b" ]find /etc -name "passwd" -print 검색한 내용을 이름만 보는 방식#>..

Q1. 접근제어 목록(ACL), 보안등급을 접근매체로 가지는 단계는?1. 식별2. 인식3. 인가4. 인증 Q2. 개인의 신원을 나타내기에 사용자의 책임추적성 분석에 중요한 자료가 되는것은?1. MDC2. 사용자3. 식별자4. RSN Q3. 디바이스 인증수단으로 옳지 않은 것은?1. One Time passwd2. MAC 주소값3. 802.1x, WPA 표준 암호프로토콜4. x.homesec -2 Q4. 다음 중 디바이스 인증 기술의 장점이 아닌것은?1. 보안성2. 경제성3. 상호연동성4. 책임추적성 Q5. 커버로스(Kerberose) 설명 중 맞는것은?1. 커버로스는 공개키 암호를 사용하기 때문에 확장성이 좋다2. 커버로스 서버는 서버인증을 위해 X.509 인증서를 이용한다.3. 커버로스 서버는 인증 서..

1. 정보보호 목표-기밀성, 무결성, 가용성2. 정보보호 대책의 통제-예방(바람직하지 못한 사건이 발생하는 것을 피하기 위해 하는 통제-담장, 보안, 자물쇠 등)-탐지(발생한 사건을 식별하기 위해 사용-CCTV, 경보 등)-교정(발생한 사건을 교정하기 위해 사용-백신 등)-복구(자원과 능력을 복구하기 위해 사용-백업과 복구)*FDS(Fraud Detection System) : 금융거래서 로그를 분석해 부정행위를 탐지 및 예방한다. 1. 접근통제 : 홍길동이라는 사용자가 어떤 파일에 읽고,쓰고,실행하는 권한이 있는지 확인해 필터링하는 것.-식별(주체가 시스템에 노출되는것)-인증(접근한 주체를 시스템이 인정하는것)-인가(접근 권한에 대한 권한 부여하는것)1) 참조모니터-완전성 : 우회가 불가능해야함.-격리..

[기본]import urllib.requestimport urllib.parse ○ GET요청시 3가지 포인트 1. 방식GET, POST, PUT, DELETE2. 대상http://www.naver.com => 호스트이름3. 추가 정보-경로 : /images/adb-데이터 : ?board=1&id=50 위를 코딩해보자. api = "http://www.naver.com"values = {"board" : "1","id" : "50",} import urllib.request #밑의 url 내용을 들고 올 수 있게 해주는 모듈from bs4 import BeautifulSoup # BeautifulSoup들고와서 밑에 객체 만들 url = ""response = urllib.request.urlopen(u..

개발을 하는 과정을 즐기고 알아보자. ○ 파이썬 사용하는 이유1. 다양한 모듈2. 가독성3. 빠른 개발 ○ 목표 : 웹 크롤러 ○ 개요 ' 웹 크롤러란?' 방대한 웹을 돌아다니며 각종 정보를 수집하는 주체.혹은 스파이더링(spidering)라고 부르기도한다.검색 엔진과 같은 여러 사이트에서는 데이터의 최신 상태 유지를 위해 항상 웹 크롤링을 합고,웹 크롤러는 대체로 방문한 사이트의 모든 페이지의 복사본을 생성하는 데 사용된다.또한 크롤러는 링크체크나 HTML 코드 검증과 같은 웹 사이트의 자동 유지 관리 작업을 위해 사용되기도 하며, 자동 이메일 수집과 같은 웹 페이지의 특정 형태의 정보를 수집하는데도 사용한다.웹 크롤러는 봇이나 소프트웨어 에이전트의 한 형태로 대개 시드(seed)라고 불리는 URL리스..

백도어는 이미 서버 에 접근하여 편리하게 사용할 수 있으며 여러 가지 이유로 편리하게 사용할 수 있습니다. 그들은 작업중 인 머신이나 유사한 액세스를 원하는 시스템 관리자를 위해 빠른 길을 원하는 개발자에게 유용합니다. 물론 백도어는 해커의 가장 친한 친구이기도하며 다양한 방식으로 추가 될 수 있습니다. 이 작업을 수행하는 좋은 도구 중 하나는 Weevely이며 PHP 코드 스 니펫을 사용합니다. Weevely은 대상 서버에 터미널을 만들고 작은 설치 PHP 에이전트를 통해 원격 코드 작업을 허용합니다. 여기에는 관리 및 유지 관리 요구 사항뿐만 아니라 권한 상승 및 네트워크 측면 이동까지 포함하여 30 개 이상의 모듈이 포함됩니다. 사용하는 계정을 호스팅하여 액세스를 잠그는 것을 생각해보십시오.이 계정..

리눅스를 설치하면 정말 윈도우 못지 않게 다양한 기능들을 활용해 볼 수 있는데요. 오늘은 centos 6을 이용한 FTP 서버 설치 방법에 대해 알아보겠습니다. FTP는 File Transfer Protocol의 약자로 파일을 업로드 및 다운로드 할 수 있도록 한다고 보면 됩니다. 처음하시는 분들은 FTP 설치 및 설정이 어렵게 느껴질 수도 있지만 차근차근 따라하면 누구나 FTP 서버 구축이 가능합니다. 아래 내용을 참고하여 FTP 서버 설치 및 설정을 해보시길 바랍니다. yum -y install vsftpd ftp를 입력하여 vsftpd와 ftp 프로그램을 설치합니다. vsftpd는 FTP 서버를 사용할 수 있도록 해주는 deamon이며, ftp는 ftp 접속이 가능하도록 하는 client 프로그램이..