728x90 전체 글491 박사님의 조언 이번에 학부연구생으로 들어갔다. 월요일부터 출근했으니 아직 일주일채 안된 셈이다. 오늘 1시간 반가량 박사님과 면담을 가졌다. 내가 지금 '리버싱과 웹해킹'을 하고 있다니 과거에 자신과 비슷하다고 웃으셨다. 연구실에 들어오면 생각했던 보안과는 다른 일을 볼거라고 했다. '저게 보안인가?' 할 정도라고. 이번년도 해킹 대회를 많이 나가서 내년에 BOB를 할거라는 내생각도 부정적이셨다. 하는 건 좋지만 이쪽길과 그렇게까지는 맞지 않는다고 하셨다. 박사님이 대학원에 들어와서 잘하기 위해선 학부연구생인 지금 자기만의 분야를 개척하는 것이라고 하셨다. 잘하는 사람은 1명이면 되지 그 이상은 주목받지 못한다고 하셨다. 그리고 나에게 특출나게 잘하는 게 뭐냐고 물으셨다. 개발을 잘하는지 수학을 잘하는지... 할말이 .. 2020. 5. 7. CAPTCHA 공격대응 CAPTCHA 공격에 대한 대응을 알아보겠습니다. 만약 이 공격을 처음 들어보신다면 아래 포스팅을 살짝쿵 보고 와주세요! https://com24everyday.tistory.com/41 CAPTCHA 공격 오늘은 CAPTCHA 를 공격하는 방법을 알아보겠습니다. CAPTCHA란 아래와 같이 기계가 인식할 수 없는 늘어뜨린 글씨로 사람인지 파악하는 겁니다. 회원가입이나 비밀번호 변경같이 사람이 직접하지 않으면 문제가.. com24everyday.tistory.com 소스코드 부분을 확인하면 하이 단계에서 확인했던 거처럼 디버깅 조건 부분이 사라졌습니다. 또 CSRF 기법을 대응할때처럼 현재 비밀번호를 입력을 요구하고 있습니다. 마지막으로 CAPTCHA 를 확인하는 걸 한단계로 진행하는 게 좋습니다. 어쩔.. 2020. 5. 7. CAPTCHA 공격 오늘은 CAPTCHA 를 공격하는 방법을 알아보겠습니다. CAPTCHA란 아래와 같이 기계가 인식할 수 없는 늘어뜨린 글씨로 사람인지 파악하는 겁니다. 회원가입이나 비밀번호 변경같이 사람이 직접하지 않으면 문제가 되는 상황에 쓰입니다. 하지만 이를 제대로 구현하지 않으면 해커는 이를 우회하여 공격할 수 있습니다. 비밀번호 변경이 다음과 같이 두단계로 이루어집니다. 1. CAPTCHA 확인 2. 확인 완료, 비밀 번호 변경 이렇게 인데 해커가 마치 CAPTCHA를 이미 확인한 것과 같이 꾸미는 겁니다. 자, 그럼 DVWA 로 가보겠습니다. 보안을 LOW 단계로 설정하고 비밀번호를 normal로 바꿔 보겠습니다. 변경되었다는 메세지가 나옵니다. burp-Start 로 가서 확인해봅니다. 첫번째 요청을 확인해.. 2020. 5. 7. 파일 업로드 대응 방법 파일 업로드에 대해 모르신다면 아래 포스팅으로 보고 와주세요ㅎㅎ https://com24everyday.tistory.com/39 파일 업로드 공격 오늘은 파일 업로드 공격을 배워보겠습니다. 파일 업로드 공격이란 파일이 업로드 될 수 있는 페이지에 악성 파일(웹쉘)을 업로드하는 것 입니다. 웹쉘이란 커맨드 인젝션에서 본 것과 비슷하게 웹을 통해 시스템.. com24everyday.tistory.com 보면 이미지 파일의 내용을 확인하여 겉모습만 이미지 파일인 것들을 걸러주고 있습니다. 또 다른 방법으로는 업로드 되는 파일을 랜덤하게 생성시켜서 해커가 자기가 업로드한 파일에 접근하지 못하게 하는 방법입니다. 또 업로드 서버와 웹애플리케이션 서버와 분리하는 방법이 있습니다. 이 방법들이 다 안되면 업로드 폴.. 2020. 5. 6. 이전 1 ··· 111 112 113 114 115 116 117 ··· 123 다음 728x90
