개요 test.c파일은 현재 전에 학교에서 진행이 됐던 시스템프로그래밍과제에서 풀었던 코드에 대한 정상작동 여부와 오류를 확인하는 코드이다. 따라서 이번 프로그래밍 기초 과제때 ast분석 대상이 됄 파일은 test.c 파일이며, generate_ast.py은 c파일의 AST를 추출해주는 python기반 파일이고, json_c.c는 ast를 추출한 js...

개요 화이트햇 스쿨 1기 4주차에 진행이 되었던 김주원 멘토님의 모바일 앱 취약점 분석 과제에 대한 Wirteup을 작성했습니다. BasicAndroid.apk BasicAndroid.apk는 flag가 총 3개가 있고 그 3개를 이어붙이면 flag{xxxx} 형식의 flag문자열이 완성된다. flag1. 처음 분석을 할 때 멘토님께서 말씀해주셨던...

개요 이번 화이트햇스쿨 1기 최신보안동향에 대한 정세희 멘토님의 과제에서 AI와 보안에 대해 작성을 해봤습니다. 해당 내용은 내가 구글링과 뉴스분석으로 찾은 내용들에 대해 작성했습니다. AI와 보안 Ai 보안에 대해서는 2가지의 분야가 나뉜다. 하나는 AI의 무분별한 데이터사용에 대해 데이터의 기밀성, 무결성, 사용성을 보호하고, 모델 자체도 공격대...

개요 DreamHack의 워게임 rot128문제에 대한 풀이를 작성했습니다. 해당 공격 기법들을 허가되지 않은 실제 운영 서버에서 시도하는 것은 정보통신망법에 어긋나는 행위입니다. 풀이 1. 코드분석 #!/usr/bin/env python3 hex_list = [(hex(i)[2:].zfill(2).upper()) for i in ran...

개요 DreamHack의 워게임 session문제에 대한 풀이를 작성했습니다. 해당 공격 기법들을 허가되지 않은 실제 운영 서버에서 시도하는 것은 정보통신망법에 어긋나는 행위입니다. 풀이 1. 취약한 코드. #!/usr/bin/python3 from flask import Flask, request, render_template, make_...

개요 스피어피싱 관련해서 교육을 듣게되어 배웠던 내용들을 새로이 정리하여 작성이 됐습니다. 스피어피싱 스피어피싱이란 특정한 개인 또는 조직을 대상으로 피싱공격을 하는 것이다. 일반적인 피싱공격과의 차이는 공격하는 대상이 특정되어있냐 아니면 특정된것없이 다수의 사람들을 공격하냐에 차이가 있다. 피싱은 가능한 한 많은 사람들에게 무차별적으로 보내고 몇...

개요 이번 Write up에서는 DVWA웹 어플리케이션을 이용해 SQL Injection공격을 수행하였습니다. 목차 1. 취약점 설명/공부 2. 개념증명 실습 3. 대응 방안 공부 4. 툴 제작 5. 레퍼런스 취약점 정보 정보 설명 이름 SQL ...

개요 이번 Write up에서는 DVWA웹 어플리케이션을 이용해 Command injection공격을 수행하였습니다. 목차 1. 취약점 설명/공부 2. 개념증명 실습 3. 대응 방안 4. 레퍼런스 취약점 정보 정보 설명 이름 커맨드 인젝션(command inj...

개요 저의 첫 Write up인 Brute Force에서는 웹 취약점 공부를 할 수 있는 DVWA(Damn Vulnerable Web Application)을 활용하여 해킹이 진행됐으며, write up의 구성과 일부 내용은 Groot Security의 Brute Force wirte up을 예시를 참고하여 작성이 됐습니다. 해당 공격 기법들을...

세상은 왜 나의 정의로움을 몰라줄까? 정말 선의의 마음으로 취약점을 찾는것은 모두 불법이다. (정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 71조) 다음 각 호의 어느 하나에 대당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 제 48조 제1항으 위반하여 정보통신망에 침입한 자 제 48조 제...