arsenic 알쓰닉?

해킹 문제 풀이 실습 (Crypto) - 1

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.crypto0lfkmqY:UO>ysUR:xUOdixsz~;ed++w▶ 암호화된 파일def xor_encrypt_decrypt(data: bytes, key: int) -> bytes: return bytes([data[i] ^ key for i in range(len(data))])# 테스트 코드if __name__ == "__main__": plaintext = b"flag{????}" key = 10 encrypted = xor_encrypt_decrypt(plaintext, key) with open("encrypted_flag.bin", "wb") as f: f.write(encryp..

3. 인터넷 프로토콜과 웹 보안

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.DNS와 hosts 파일인터넷에 대한 프로토콜이 다양하게 있는데, 그중에 보안과 연관성이 많은 대표적인 것이 바로 DNS이다.hosts 파일을 이용한 정보 수집Hosts 파일DNS 프로토콜을 처리하기 위한 방법론엔 세 가지가 있다. 실제로 서버와 패킷이 왔다갔다 하며 IP를 해석하는 것, 혹은 한 번 알아낸 IP 주소를 캐싱 하거나, 따로 매우 자주 사용하는 도메인의 경우엔 아예 하드코딩하여 지정하는 방법이 있다. 이때 hosts 파일이라는 게 결국 DNS의 가장 기초적인 것 중 하나인 하드코딩에 해당한다. 매번 domain의 ip 주소를 해석해야 하면 성능이 느려지고 부하가 많아지니, 어차피 바뀔 일 없는 그런 도메인 서버 하나에 고정..

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.ProtocolProtocol은 특정 분야에서의 기술적인 용어가 아닌 범용적인 단어로, 절차를 뜻한다.사전적인 의미로는 무언가를 할 때 어떤 절차를 거쳐 소통을 할 거냐, 이런 게 프로토콜이다. 컴퓨터 시스템에선 컴퓨터와 컴퓨터가 어떻게 소통하는지에 대해 정의하는 절차를 프로토콜이라고 한다. ※ 함수를 호출하는 방법론도 프로토콜 중 하나라고 볼 수 있다.The three elements of a protocolSyntax어떤 규칙을 가치고 소통, 즉 프로토콜이 오갈 것이냐에 대한 것을 의미한다. SemanticsSyntax의 어떤 부분에, 어떤 의미를 부여(해석)할 것이냐에 대한 것을 의미한다. ex) 에러가 발생했을 때 어떻게 대응을 ..

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.실습 진행HTTP8 - XSS Vulnerability Example문제 설명주어진 웹 애플리케이션에서 XSS 취약점을 찾아 실습하는 문제Input을 넣을 때 XSS가 발생할 수 있도록 입력하여 알람창 띄우기※ 알림창을 띄우는 게 XSS가 터짐을 알 수 있는 척도이다. 문제 풀이▶ 입력할 수 있는 칸에 XSS payload 삽입 ※ XSS payload: XSS 공격에 사용되는 악성 스크립트 코드로, 주로 JavaScript로 구성되어 사용자의 브라우저에서 실행된다.▶ 사용자의 입력이 검증없이 렌더링되면서 임의의 JavaScript가 실행됨 결론사용자의 입력 값을 검증 및 이스케이프 처리를 통해 XSS 공격을 방어해야 함 (필터링 기법)..

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.HTTP 프로토콜 소개HTTP(Hypertext Transfer Protocol)란?HTTP는 인터넷상에서 데이터를 주고 받기 위한 서버/클라이언트 모델을 따르는 프로토콜로,애플리케이션 레벨의 프로토콜로 TCP/IP 위에서 작동한다. 이러한 HTTP로 보낼 수 있는 데이터는 HTML 문서, 이미지, 동영상, 오디오, 텍스트 문서 등 여러 종류가 있다.▶ TCP/IP 프로토콜 위에 있는 HTTP보안 관점에서 HTTPHTTP는 웹의 기본 프로토콜로, 많은 해킹 기법들이 HTTP를 악용한다. 때문에 HTTP를 이해하면, 웹 애플리케이션에서 발생할 수 있는 다양한 취약점(e.g, SQL Injection, XSS, CSRF 등)을 파악하고 예방..

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.실습SW 요구사항웹 해킹 (http)Python 설치 방법▶ Python 설치 시 "Add python.exe to PATH" 체크 필요 환경 변수란 운영체제가 프로그램 실행에 필요한 정보를 저장하는 변수로, 특히 PATH 환경 변수는 명령어 프롬프트(CMD, 터미널 등)에서 특정 명령어를 입력했을 때 해당 실행 파일이 어디에 있는지를 찾아 실행할 수 있도록 도와준다. python 명령어 실행 과정사용자가 터미널에서 python 입력OS는 PATH 환경 변수에 등록된 디렉터리 목록을 차례로 검색해당 디렉터리 중 python.exe가 존재하면 실행등록되지 않았다면 "python"을 찾을 수 없습니다."와 같은 오류 발생BURP 다운로드Bu..