[카테고리:] 정보보호
-
크롬의 자동완성 기능 끄기 (크롬에서 아이디 비밀번호 저장하지 않기)
크롬 브라우저의 양식 자동완성 기능 한 사람이 갖고 있는 인터넷 웹사이트의 계정은 아마도 수십개가 될 것이다. 그렇다 보니 아이디와 비밀번호를 관리해주는 전용 앱들이 등장해 인기를 누리고 있기도 하다. 그에 더해 대부분의 웹사이트에 로그인할 때 사용되는 브라우저도 웹사이트에 로그인할 때 입력되는 아이디와 비밀번호를 보관했다가 대신 입력해주는 기능을 갖고 있기도 하다. 크롬 브라우저에서는 이 기능을 양식(Form)의 자동완성 기능이라고 부른다. 여기에서 양식이란 HTML 태그 중에서 폼(form) 태그를 말하여 이 폼(form) 태그 …
-
hping3 명령어 사용법 및 포트스캔/DOS 공격 테스트 방법
hping은 네트워크에 존재하는 서버, PC, 네트워크 장비가 살아 있는지를 확인하기 위해 사용하는 ping 명령어보다 다양한 기능을 제공하는 명령어다. hping 명령은 서버 및 네트워크의 환경을 분석하거나 공격할 수 있는 패킷 생성기이자 분석도구다. 몇몇 버전이 있지만 현재 사용되는 최신 버전은 hping3다. hping3의 사용법을 몇가지 정리해 본다. 1. icmp ping hping3는 ping 명령어 처럼 icmp 프로토콜을 이용해 특정 IP에 대해 장비가 살아있는지...죽어 있는지를 확인할 수 있다. root@kali: …
-
CJ대한통운 사칭 스미싱(SMS 피싱) 주의 !!
요즘 택배사를 사칭하는 문자메시지를 보내 스마트폰에 악성코드가 포함된 앱의 설치를 유도하는 스미싱이 유행하고 있다. 스미싱이란 SMS 문자메시지를 보내 스마트폰 사용자를 낚아 악성앱의 설치를 유도하여 스마트폰에 저장된 사진, 문서, 주소록 등 개인정보를 탈취하거나 원격조정하여 다른 웹사이트나 컴퓨터에 DDOS 공격을 하는 일련의 사이버 공격행위를 말한다. 어느날 아침.. 옆지기로부터 "CJ 대한통운에서 택배 확인 요청" 문자메시지가 왔는데... 좀 이상하다는 카톡이 왔다. 그래서 화면을 캡처해 보내달라고 했다. 이런 문자가 왔다. …
-
유명 앱이 악성코드를 유포했다. (CamScanner-무료버전)
CammScanner에 악성코드를 전파하는 드랍퍼(Dropper) 감염 최근에 1억회 이상 다운로드 된 유명 앱이 악성코드 유포에 악용되었다. 바로 캠스캐너(CamScanner)라는 앱이다. 이 앱은 나도 사용하고 있었을 만큼(최근에는 사용하지 않았지만) 유명한 앱이다. CamScanner앱은 최근엔 흔해졌지만 문서를 스마트폰의 카메라로 촬영하면 문서크기를 직사각형 형태로 자동 보정하여 컬러 및 흑백 문서 처럼 변환하여 PDF로 저장할 수 있는 매우 유용한 앱이었다. 그런데 CamScanner 앱의 무료버전을 설치하고 실행할 경우 …
-
[모의해킹]CSRF 취약점 공격 실습하기 -DVAW
CSRF(Cross Site Request Forgery) 취약점은 번역이 조금 애매하다. "사이트 간 요청 위조" 정도로 번역한다. 이 취약점은 GET 또는 POST 요청을 서버가 받았을 때 해당 요청이 변조된 것이 아닌지를 검사하는 코드가 서버 사이드에서 수행되지 않은 채 요청을 그대로 실행할 때 발생할 수 있는 취약점의 통칭이다. DVWA에서는 비밀번호 변경 페이지를 예로 들어 실습을 할 수 있도록 해준다. 위의 비밀번호 페이지를 가만히 들여다 보면 몇가지를 유추할 수 있다. 먼저 현재의 비밀번호를 물어보지 않고 변경할 새 비 …
-
RSA 암호알고리즘 (PKI) 이해와 실습
앞의 포스트에서 디피-헬만 키 교환 알고리즘을 알아보았다. 디피-헬만 알고리즘은 송신자가 주체가 되어 송신자와 수신자 상호간의 암호키 전송없이 실제 송수신할 데이터의 암호화와 복호화를 할 수 있는 공통의 비밀키(대칭키)를 교환(실제로는 송신자와 수신자가 각자 생성)하는 키 교환 알고리즘이다. 그 이후의 데이터 암복호화는 생성된 대칭키(비밀키)를 이용하여 별도의 대칭키 암호화 알고리즘을 사용하면 된다. 그래서 디피-헬만 키 교환 알고리즘은 SSL(Secure Socket Layer) 통신 시 암호키를 생성하고 교환하는 목적으로 사용된 …
-
[모의해킹] Command Injection 실습하기 – DVWA Command Injection
커맨드 인젝션은 SQL 인젝션 만큼이나 위험한 취약점이다. SQL 인젝션은 일반적으로 DB의 데이터가 유출될 가능성이 높은 취약점이며 커맨드 인젝션은 서버 전체의 통제권을 해커에게 빼앗길 수도 있는 취약점이기 때문에 일반적으로 SQL인젝션보다 더 위험하다고 볼 수도 있다. 커맨드 인젝션은 웹페이지에서 이용자에게 입력받거나 별도로 생성한 정보를 서버측의 운영체제 명령어와 결합하여 실행할 때 발생할 수 있는 취약점이다. DVWA의 Command Injection 실습 페이지에서는 다음과 같은 예를 들어준다. DVWA 명령어 인젝션 실습 …
-
[모의해킹]블라인드 SQL 인젝션 실습하기 – DVWA Blind SQL Injection – Low Level
블라인드SQL인젝션은 보통의 SQL 인젝션보다 더 어렵다. 당연히 SQL 인젝션이 유행하면서 많은 개발자들이 이에 경각심을 갖기 시작했고 시큐어코딩을 적용했다. 하지만 해커들의 열정은 웹사이트 개발자보다 월등히 높다. 해커들은 손쉬운 SQL인젝션이 통하지 않지만 제목에서도 알 수 있듯.. 깜깜한 어둠 속에서 손을 더듬어 가며 손에 닿는 감촉으로 무엇인가를 인식할 수 있듯.. DB에 접근할 것으로 추측되는 화면만 있으면 조회 결과가 화면에 보이지 않더라도 화면 조작의 결과가 화면에 표현되는 방식에 따라 그 결과를 추측하여 DB에 접 …
-
SQL인젝션 실습 – SQL injection – Medium Level
지난 번에 설치한 웹 해킹을 실습할 수 있는 DVWA로 이런 저런 테스트를 하고 있다. 그 테스트 중 두번째가 SQL인젝션인데.. 일단 SQL인젝션 취약점이 발견되면 DB에 저장되어 있는 기업의 주요 기밀은 물론 고객의 개인정보 등 매우 치명적인 정보가 유출될 가능성이 크다. SQL 인젝션 (SQL Injection) 이란 SQL인젝션은 이용자에게 입력받은 다양한 조건 혹은 정보를 이용해 DB에서 정보를 조회해 이용자의 웹 브라우저에 출력하는 과정에서 발생할 수 있는 소스코드의 취약점을 공격하는 해킹기술이다. 웹서버에서는 이용자의 …
-
웹 모의해킹 실습환경 구축
정보보안전문가를 꿈꾸는 학생이나 직장인들이 가장 관심있는 분야 중 하나가 바로 웹해킹이다. 인터넷에 널리고 널린 것이 웹사이트이고 그 웹사이트를 뚫고 침투하는 것이 멋있어 보이기 때문이 아닐까 한다. 그런데 분명히 말하지만 그런 행위는 그냥 "도둑질"과 같다. 아니 그런 행위를 하는 사람은 그냥 도둑놈이고 절도범이며 무단침입 현행범이다. 한마디로 범법자다. 하지만 정보보안전문가라면 웹해킹도 분명히 배워야할 분야 중 하나다. 경찰이 도둑놈을 잡기위해서 도둑놈들의 습성과 기술을 이해하고 있어야 하듯 웹서버의 해킹을 방어하고 해커를 …