private._.

조직의 정품 인증 서비스를 사용해 Window 정품 인증을 받았습니다. 그리고 노트북 시작시 제품 만료일이 얼마 남지않는다는 알림(?)이 발생하여 조회해보았습니다. cmd창에 slgmr /xpr입력시 만료기간 확인하자. 그 외 옵션들 정리 /ipk 제품 키 설치(기존 키 바꾸기)/ato [Activetion ID]Windows 정품 인증/dli [Activation ID | All]라이선스 정보 표시(기본값 : 현재 라이선스)/dlv [Activation ID | All]자세한 라이선스 정보 표시(기본값 : 현재 라이선스)/xpr [Activation ID]현재 라이선스 상태의 만료 날짜 -----------------------------------------------------------------..

>>구글해킹이란Google Hacking For Penetration Testers구글해킹은 Johnny Long에 의해 처음 소개되었다. 그의 책 "Google Hacking For Penetration Testers"는 아마존에서 찾을 수 있었음 >>고급 연산자 사용방법○ Inurl, Allinurl: URL에서 문자열 검색○ Allintext: 페이지 본문에서 문자열 검색-All~ 연산자는 다른 연산자와 혼용 불가○ Link:페이지로의 링크○ Inanchor:링크 문자열 내에서 검색○ Cache: 캐시 저장 페이지○ Numrange; 숫자 범위를 검색○ Daterange: 특정 날짜 사이에 배포된 페이지 검색○ Info: 요약 정보 출력○ Related: 관련 사이트 출력○ Author:뉴스그룹 게..

○ http://webhacking.kr/○ http://reversing.kr/○ http://pwnable.kr/○ https://exploit-exercises.com/○ http://hack-me.org/○ http://xcz.kr/○ http://wargame.kr/○ https://microcorruption.com/login

영화 '신과함께' 를 보고 난 뒤, 게임으로 코딩 해보았습니다. ■ 등장인물 - 판관 - 지옥왕 - 차사 - 유저(귀인,망자) ■ 게임소개 - 3번의 심판질문 후 재판을 받는 유저의 정보가 변화합니다. - 3번 심판 질문마다 지옥 단계가 올라가며, 최종 지옥단계에서 유저의 점수에 따라 (짐승, 인간, 미개) 환생하게 됩니다. - 지옥단계 넘어갈때마다 차사의 추가 변호를 받습니다. - 게임진행률과 게임 점수가 매번 표시됩니다. ■ 로직 - 총 15개 클래스로 이루어져 있으며, 소스코드를 밑에 첨부합니다.(허접주의)

[이름] - M2M (멘토 to 멘토) [설명] - 멘토와 멘티를 연결해주는 웹페이지 입니다. [사용 기술] - Language : HTML, Java, PHP, JavaScript, Ajax - Server : Apache - Database : MySQL - Protocol : HTTP, TCP, DHCP [주요 기능] 1) 회원가입 - 아이디 중복 체크 / 공백 체크 - 비밀번호 정규화 / 자리수 체크 / 재입력 일치 여부 / 공백 체크 2) 로그인 - 가입된 유저 확인 후 로그인 - 쿠키/세션 적용 3) 게시판 - 게시글 작성 - 게시글 수정(비밀번호 체크) - 게시글 삭제(비밀번호 체크) - 댓글 기능 - 페이지당 5개 게시글 출력 - 회원만 게시글 작성,수정,삭제 - 쪽지보내기 4) 메일보내기..

※ VMware Workstation 의 네트워크 구성을 이해하는데에 있어 가상과 실제의 경계를 긋지 마시기 바랍니다. 지금 내 컴퓨터엔 네트워크 어댑터가(랜 카드) 하나 뿐인데... 이건 가상인데... 이런거 모두 그냥 잊어버리세요. 내 컴퓨터에 네트워크 어댑터가 세 개가 잡혀있으면 실제 내 컴퓨터에 네트워크 어댑터가 세 개가 달려있다고 생각하세요. 가상 머신도 지금 내 앞에 존재하는 실제의 컴퓨터입니다. 모두 실제하는 장치들이라고 머리 속으로 그림을 그리셔야만 합니다. 그래야만 쉽습니다. ※ 글의 기준이 되는 VMware Workstation 은 윈도우용 버전입니다. VMware Workstation 네트워크 구성의 이해네트워크에 연결되지 않는 컴퓨터는 컴퓨터가 아니라는 말까지 나오는 요즘, 네트워크..

[ 게임설명 ] ◆ 게임 제목 - 직원복지타이쿤 연예인엔터테인먼트의 대표이사가 된 플레이어(대표이사)는 연예인을 이용해 수입을 벌어서 대표님의 자산 3억 달성하는 게임입니다.연예인들은 긍정적 마인드와 부정적 마인드가 존재하는데, 사내 복지 없이 고된 스케줄을 강행할수록 긍정적인 마인드는 줄고, 부정적인 마인드는 증가하게 됩니다.이렇게 되면 연예인은 스케줄 소화 중간에 사고가 나게 되고, 대표님은 어마어마한 위약금 및 사고처리 비용을 물게 됩니다.그렇기 때문에 사내복지를 틈틈이 추진하면서 일정 상태변화에 몰리지 않도록 다양한 스케줄을 진행해야 합니다.게임은 시작부터 종료 할 때까지 시간을 재고 있으며, 플레이어는 가능한 직원이 죽지 않도록 잘 관리하여 게임을 진행하면 됩니다. [수입분배조건] 연예인들의 공..

-------------------------------------------------[5월22일 쉬는시간 마다 작업]-------------------------------------------------주요기능 1. 로그인 1-1 : 가입된 유저 일반로그인. 1-2 : 페이스북 계정으로 로그인. 1-3 : 구글계정으로 로그인.2. 파일업로드 2-1 : 사진파일 업로드 가능(갤러리에 저장된 사진파일) 2-2 : 제목 업로드 가능 2-3 : 내용 업로드 가능3. 저장정보 조회 (리싸이클뷰) 사용기술Language : Java OS : Android RDBMS : Firebase Protocol : Http, TCP/IP Library : Glide, JSONDesign : Material [그림 1-1..

------------------------------------------------------------------------구현성공-------------------------------------------------------------------구글계정으로 로그인성공. 로그인 정보확인. ------------------------------------------------------------------------따라해보기------------------------------------------------------------------- 맨우측 상단에 '문서로 이동' 클릭 !!잠깐!! 왼쪽 메뉴 내용 설명 Authentication : 인증할 수 있는 부분Database : 말그대로 DBS..

파이어베이스(Firebase)란? 파이어베이스(Firebase)는 2011년 파이어베이스(Firebase, Inc)사가 개발하고 2014년 구글에 인수된 모바일 및 웹 애플리케이션 개발 플랫폼이다. 파이어베이스 소개!참고(https://academy.realm.io/kr/posts/firebase-as-a-real-mobile-backend/) 쉽게 말하면 서버개발자 없이 안드로이드개발자가 다 만들수 있는 플랫폼.안드로이드를 배웠는데, 이걸 배워도 기본적으로 애니메이션이나 이벤트와 같은 앱만 만들 수 있는데,파이어베이스를 통해 데이터베이스를 구축하면 서비스를 할 수 있는 퀄리티의 앱을 만들 수 있다. ex) 사내채팅앱, 그룹앱이나 스타트업 어플등 BaaS(Backend as a Service) 혹은 Pa..

Android 앱을 개발할때 구글 API를 사용할려면 SHA1 키를 등록해야하는데요, SHA1 키를 어떻게 알 수 있냐? 이것이 항상 헷갈렸지요. 예전에 개발툴로 Eclipse 를 사용할때는 이클립스 안에서 바로 Debug용 SHA1키는 확인이 가능했었는데, 이번에 Android studio로 개발툴을 변경하면서 멘붕이 왔었죠.... 자 각설하고, SHA1키를 어떻게 알아 볼수 있는지 방법은 아래와 같아요. 1. 윈도우에서 cmd 창 열고,C:\Program Files\Java\jdk1.7.0_45\bin2. 자바 bin 폴더로 이동한다.3.명령창에 입력keytool -list -v -keystore "%USERPROFILE%\.android\debug.keystore" -alias androiddebu..

○ 작품명 : 노바폴리오 (NovaFolio) 작품명은 팀노바와 포트폴리오의 합성어 입니다.팀노바에서 공부하는 사람들을 타겟으로 기획하고, 개발하게된 어플입니다.여기서 사용한 '포트폴리오'의 의미는 팀노바에서 시간을 쓰며 공부한 자료들 입니다.팀노바 처음 등록하고, 수료하는 기간동안 어플 사용자 마다 기상시간을 체크하고, 서로의 상태를 공유하며, 개발일지 메모, URL들을 정리할 수 있습니다. ○ 주요 기능 1. 회원가입 ※ 어플을 이용할 수 있는 회원과 비회원을 나누기 위해 구현한 기능입니다. · 기존 가입된 회원이 아닐경우, 가입할 수 있으며, 비밀번호는 정해진 자리수에 맞춰 입력해야하고, ID중복체크를 통해 가입할 수 있습니다. 2. ID/PW 찾기 ※ 해당 어플은 같은 아이디를 여러번 사용할 수 ..

○ 사전협의단계(Pre_Engagment) (담당자와 프로젝트 진행 범위 결정.)·수행계획서 작성 완료. ○ 정보수집단계(Intelligence Gathering)(점검할 대상으로 외부에 노출된 정보 수집)·정보수집단계에서 실수하면 침해사고 대응에 가장 큰 문제로 이어진다.·대외적으로 공개되어있는 정보수집이라는 OSINT(오픈소스인텔리젼스) ○ 위협모델링 단계(Threat Modeling)(수집한 정보를 가지고 보안적으로 취약한 부분을 모델링)·어떤 공격을 할지 정의하는 단계 ○ 취약점 분석 단계(Vulnerability)(항목에 따라 어떤 취약점을 탐지할 수 있는지 분석)·웹해킹 등 실질적으로 진행단계(취약점을 찾아내는 단계) ○ 침투단계(Exploitation)(시나리오 기반으로 침투 여부 확인)·취..

모의해킹PT(Penetration Tester) : Penetration : 침투, 침입, 침해 해킹 스킬을 가지고 모의침투하는 테스트를 실시하는 것. ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ필요한 기술은?ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ ○ 네트워크 해킹 TCP/IP 주요 프로토콜의 취약점과 공격 기법, 라우터 및 라우팅 프로토콜 해킹 기법, 무선랜 해킹 기법, VoIP 해킹 등. ○ 웹 해킹 OWASP TOP 10 List 에 근거한 주요 웹 해킹 기법과 WEB 2.0 관련 해킹 기술또한 기본적인 웹 언어의 이해를 바탕으로 실제 사이트에 대한 취약점 분석 및 해킹. ○ 리버스 엔지니어링 악성코드, 익스플로잇, 보안패치 등을 분석하는 기술. ○ 악성코드 분석 악성코..

○ 유틸리티(utility) : 운영체제에서 제공하는 것 이외에 추가 가능을 제공하는 작은 프로그램(필수적으로 주 프로그램은 아니다.)○ 모듈(module) : 독립되어 있는 하나의 S/W 또는 H/W 단위. 즉 프로그램의 일부분.○ 펌웨어(firmware) : 하드웨어화 된 소프트웨어.(소프트웨어를 롬(ROM) 등에 기입해 사용하는 것.) 다시 말해 하트웨어 내부 저장공간에 논리 기능을 보강할 프로그램○ 익스플로잇(exploit) : 공격코드. 취약점 공격하는 방법.○ 익스폴로이테이션(exploitation) : 취약점 공격하는 행위.○ 후속공격(post exploitation) : 취약점 공격 성공 후에 수행하는 공격.○ 취약점(vulnerability) : 시스템 또는 소프트웨어에 존재하는 결함.○..

스미싱(SMS phishing, 스미싱, Smishing) 이란?: 문자메시지 피싱(SMS phishing, 스미싱, Smishing)은 문자메시지를 이용한 피싱이다. 스미싱은 SMS(문자메시지)와 피싱(Phising)의 합성어이다. 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장하여 개인비밀정보를 요구하거나 휴대폰 소액 결제를 유도한다. 최근 들어 스마트폰 이용자들이 늘어남에 따라 돌잔치, 결혼 청첩장 등이 도착하였다고 하면서 링크를 걸어 안드로이드 애플리케이션 설치파일인 apk 파일을 설치하도록 유도하여 휴대폰 내의 정보를 빼가는 수법이 늘고 있다.[출처] [보안용어]스미싱(SMS phishing, 스미싱, Smishing)|작성자 이슬먹는독수리

파밍 이란?: 파밍(Pharming)은 새로운 피싱 기법 중 하나이다. 파밍(pharming)은 사용자가 자신의 웹 브라우저에서 정확한 웹 페이지 주소를 입력해도 가짜 웹 페이지에 접속하게 하여 개인정보를 훔치는 것을 말한다.[출처] [보안용어]파밍(Pharming)|작성자 이슬먹는독수리

MIME(Multipurpose Internet Mail Extensions) MIME(Multipurpose Internet Mail Extensions) 는 인터넷 상에서 아스키 파일 이외의 파일(주로 바이너리 파일)을 전송할 때 파일형식을 약속하기 위해 만들어진 기준이다. 주로 메일에 파일을 첨부해서 전송할 때 파일 형식을 지정해준다. 물론 브라우저로 파일을 전송받을 때도 사용된다. 더 쉽게 말하자면, 양방향에서 파일 전송이 될때 파일을 보내는 쪽에서 "audio/mpeg" 이라고 말해주면 받는 쪽에서 MPEG 파일로 인식을해서 파일포맷에 적당한 조치를 취하게 된다. 예를 들어 바로 저장한다거나 어플리케이션을 실행시킨다 든지는 브라우저(넷스케이프)에서 정의를 할 수가 있다. [출처] [보안용어] M..

DDoS(Distributed Denial of Service, 분산 서비스 거부공격) - DDOS의 개념 이해 : 하루에 수십 대의 차량이 통과할 것을 예상하고 만들어 놓은 한적한 2차 도로가 있다. 어느 날 이 도로에 갑자기 수천, 수만 대의 차량이 나타나면 어떻게 될까. 단순 정체를 넘어서 주차장에 가까운 형태가 될 테고 결국은 오도가도 못하는 통행불능에 빠질 것이다. 이와 같은 현상은 실생활에서 거의 보기 드문 일이지만 온라인에서는 종종 발견된다. - DDOS의 의미 : > DDOS 공격은 수십 대에서 많게는 수백만 대의 PC를 원격 조종해 특정 웹사이트에 동시에 접속시킴으로써 해당 웹사이트를 관리하고 있는 서버의 기능을 마비시키는 공격이다. > 서버는 자체적으로 트래픽을 분산하는 기능을 가지고 ..

스푸핑(Spoofing)이란임의로 구성된 웹사이트를 통하여 이용자의 정보를 빼가는 해킹 수법 중 하나이다. 수푸핑(Spoofing)은 '속이기' 라는 사전적 의미를 가지고 있으며, 외부 악의적 네트워크 침입자가 임의로 웹사이트를 구성하여 일반 사용자들의 방문을 유도하고, 유도가 되면 인터넷 프로토콜 TCP/IP의 구조적 결함을 이용하여 사용자의 시스템 권한을 획득한 뒤 정보를 빼가는 해킹 수법이다. >>대표적인 종류 ○ IP 스푸핑(IP Spoofing)IP 스푸핑이란 목표를 하는 호스트(target host)와 신뢰 관계를 맺고 있는 다른 호스트로 공격자의 IP 주소를 속여서 패킷을 보내는 기법을 의미합니다. ○ DNS 스푸핑(DNS Spoofing) 호스트(target host)가 이용하는 도메인네임..

ARP Protocol의 개요 ○ ARP(Address Resolution Protocol)는 로컬 네트워크 호스트간 통신을 할 경우 사용되는 MAC 주소와 IP 주소 간 변환을 해주는 역할. 상대방의 MAC 주소를 모를 경우 (ARP Chche table에 없을 경우) 동일 로컬 네트워크에 ARP Request 메세지를 Broadcast 하게 된다. (※ Window XP의 경우 기본적으로 방화벽이 활성화되어 있기 때문에 수동으로 꺼주지 않으면 ping이 가지않는다. 보통은 ping을 이용해 정상적으로 네트워크가 연결되어있는지 확인한다.) 1. ARP Spoofing 공격 실행-arpspoof 명령어로 공격 Usage : arpspoof [-i inferace] [-t target] host "-t" ..

>>offset ○ packet의 data 파트에서 특정 offset 검사 ○ ex) alert tcp 192.168.1.0/24 -> any any (content:"HTTP"; offset:4; msg: "HTTP matched";) => data가 시작되는 부분에서 4 bytes 떨어진 부분부터 HTTP 문자열 탐색 >>depth ○ data 부분에서 어디까지 검사할지 지정 ○ ex) alert tcp 192.168.1.0/24 -> any any (content:"HTTP"; offset:4; depth=40; msg: "HTTP matched";) => TCP packet의 data 부분에서 4-40 offset에서 "HTTP" 문자열 검색 >>content-list ○ packet 내부에서 검..

☆ 윈도우 서버가 아니라는 전제조건!!!! test.php$a=$_GET['a'];echo"$a"+".remove me!";?>위와 같은 PHP 파일이 있다.test.php?a=hellopyutic와 같이 tets.php에게 인자를 준다면, 당연히 화면에는 hellopyutic.remove me!가 출력될 것이다.그렇다면, 저 뒤에 붙는 자신의 제거해달라고 소리피는 .remove me! 라는 문구를 제거하고 출력하는 방법이 있을까? PHP는 C언어와 유사한 부분이 많은데, C언어의 문자열은 NULL BYTE로 끝난다. 그렇다면 PHP의 문자열도 NULL로 끝날것이다.(서버의 특징때문에 하는 설명) 즉, 인자 뒤에 널 바이트(%00)을 추가해주면 되는 것이다.test.php?a=haha%00 를 하면 ha..

SQL Injection은 사용자로 부터 특정 인자를 받아, 그 인자를 직간접적으로 사용하여 DB에 접근할때, 악의적인 뜻을 품은 사용자(해커)가 DB에 접근할 수 있는 인자의 값을 멋대로 조작하여 DB를 멋대로 휘저을수 있는 취약점이다. 사용방법은 특정 텍스트 박스안에 ' 혹은 "를 선두에 넣고, 특정 DB쿼리를 넣어 주면 된다. 대부분은 ID란에 넣고 그리고 'or 1=1--'--and 1=1이 쓰입니다. (--는 DB의 주석입니다. 따라서'--라는 문구는 뒤의 내용을 모두 주석처리해서 인증을 우회한다는 의미입니다.

※ 다운로드 취약점은 다운로드 시에 파일 이름을 직접적으로 인자로 받아 파일을 다운로드 할 시에 일어날 수 있는 취약점입니다. 이런 이유로 쓰인다.1. 파일을 업로드 시켰는데, 그 파일이 어디에 업로드 되있는지 알고싶을떄2. 다운로드 취약점을 이용해서 php등의 서버 파일의 소스를 알아내려고 할때(서버 스크립트 파일의 소스를 파악하게 되면 해킹이 보다 쉬워집니다. = 구조파악) http://hackmecom/download.php?filename=test.zip이 주소는 아마다 test.zip이라는 파일을 다운로드 할 수 있는 주소일 겁니다.쉡게 말해, filename의 인자로 넘어온 값을 다운로드 받는 것인데, 그렇다면 우리는 test.zip 파일을 siku.zip으로 바꾼다면, 다른 파일을 다운받을 ..