평소 클라우드에 관심은 있지만 어려워 보여 접근을 하지 못했는데 네이버 클라우드에서 주최하는 HANDS-ON-LAB은 무료 교육이라길래 다녀와봤습니다! 먼저 HANDS ON LAB에 대해 설명드리자면 네이버 클라우드에서 진행하는 무료 교육으로 네이버를 처음 접하는 사용자가 대상입니다. 교육 시간은 10시~17, 교육장소는 네이버 클라우드 플랫폼 교육장 (강남 테헤란로)였습니다. 점심 식사와 카페 음료가 제공되었고 대신 노트북이 필수였습니다 ▼ 신청은 아래의 네이버 클라우드 플랫 사이트에서 NAVER CLOUD PLATFORM cloud computing services for corporations, IaaS, PaaS, SaaS, with Global region and Security Technolo..

● SQL INJECTION 공격 종류 ○ IN-BAND SQL INJECTION 가장 일반적인 SQL injection으로 같은 통신 채널을 사용하여 공격 코드를 주입하고 결과를 수집할 수 있을때 수행하는 공격 - Error based SQL injection : 쿼리를 조작하여 에러를 발생시키고 에러 메세지를 분석하여 정보를 수집하는 공격 - Union based SQL injection : 두개 이상의 SELECT 구문을 사용해 연접하여 추가정보를 포함하도록 하는 공격 ○ BLIND SQL INJECTION 인벤드 SQL 인젝션과 달리 직접적인 결과 수집이 어려울 경우 사용하는 공격 기법 - Bolean based SQL injection : 쿼리의 참/거짓에 따른 응답의 변화를 통해 정보를 유추하..

●IDS란? Intrusion detection system의 약자로 시스템에 대한 원치 않는 조작을 탐지하여 준다. 즉 탐지가 핵심 기능이다. 이미 발견되고 정립된 공격 패턴을 미리 입력하여 해당 패턴을 탐지하면 알려주도록 설정되어있다. HIDS(호스트 기반)와 NIDS(네트워크 기반)로 구분 가능하며, 설치의 위치에 따라 구분된다. 스노트가 대표적이다. ●IPS란? Intrusion prevention system의 약자로 시스템에 대한 원치 않는 조작을 탐지하고 차단해준다. 즉 IDS에서 발전해 방화벽의 차단 기능을 부과한 시스템이라고 생각하면 된다. 따라서 IPS와 IDS의 차이점은 차단기능의 유/무이다.

●사이버 훈련장 이용방법 사이버 훈련장 이용방법에 대해 자세히 기술했습니다. 접속이 되지 않는 오류가 있을때 해결 방법도 기술해놨으니 끝까지 글 읽어주시면 감사드리겠습니다. 1. 가명정보 활용 종합지원플랫폼 접속 후 회원가입/로그인 하기 ↓ 접속 링크 ↓ 가명정보 활용 종합지원플랫폼 가명처리 기술 지원 가명 · 익명처리에 어려움이 큰 중소기업, 스타트업, 공공기관 등에서 소유한 데이터를 직접 가명처리할 수 있도록 솔루션을 제공합니다. data.privacy.go.kr 2. 헤더의 사이버 훈련장 - 사이버 운영 신청 클릭 3. 온라인 신청서 작성 상세정보 입력 후 제출 버튼 누르면 됩니다. 요청하는 정보가 많지 않아 1~2분이면 작성 가능합니다. 4. 헤더의 마이페이지 - 사이버 훈련장 클릭 사이버 훈련장..

마이크로소프트에서 진행하는 인공지능 시험에 합격하여 자격증을 발급받았습니다! 해당 코스는 MS사의 AI 자격증 중 가장 기초의 레벨입니다. 출제되는 문제유형은 AI관련 기본 개념 + Azure AI 서비스 사용방법(MS사의 인공지능 플랫폼)으로 쉬운 편이예요. 저는 인공지능 수업을 듣고 있는 전공자로써 3시간 정도 투자했습니다. 비전공자시라면 넉넉잡아 하루정도 꼬박 투자하시면 충분히 취득 가능하실 것 같아요 머신러닝/컴퓨터비전/NLP/대화형AI + 아자르에 관해서 나왔습니다. 공부방법은 무료코스와 유료코스로 나눌 수 있을 것 같은데 제 경우에는 특정 프로그램을 지원했는데 해당 프로그램에서 유료코스를 무료로 지원해줘서 유료문제풀이로 공부했어요! 전공자시라면 기본 개념을 익히는 것보다 바로 문제풀이로 들어가..

2023년 2학기에 실시한 TOPCIT에서 수준3를 취득했습니다. 상위 30%안에도 못 든 성적이지만 그래도 3시간 벼락치기하고 50분 일찍 나온 것 치고 생각보다 점수가 높아 놀랐습니다. TOPCIT은 소프트웨어 역량 검정(TOPCIT: Test Of Practical Competency in IT)으로써 소프트웨어를 활용한 창의적 문제해결 능력을 평가받고자 하는 사람을 대상으로 실시하는 검정시험입니다. 시험공부는 전날 벼락치기로 (1) topcit 시험 환경 연습 https://www.topcit.or.kr/board/preview.do 학습가이드 > TOPCIT 연습하기 | TOPCIT www.topcit.or.kr (2) topcit 해설 영상 - 유튜브 가면 종류별로 다양하니 찾아보세요! htt..

이는 인자가 ""에 쌓여 출력되고 문자 제한이 걸린 command injection 문제이다. 따라서 문자제한 회피를 위해 위와 같이 burp suite를 이용하였다. 1.1.1.1 ls 출력 -> 문자제한으로 막힘 proxy로 문자제한 우회 1.1.1.1을 보내고 그 후 proxy하여 ; ls를 출력해봄 -> “” 가 붙어 해당 명령어 막힘 "{host}"로 되어있는것 발견 “” 우회하기 "; ls ./ " -> 막힘 여기서 포인트는 둘다 주소인것 따라서 따옴표로 묶어도 오류 안남 "; ls “./” 하면 먹힘! -> 여기 아래에 flag.py 발견함 그렇다면 "; cat "./flag.py"하면 답 발견가능함!

해당문제는 sql injection 유형이다. @app.route('/login', methods=['GET', 'POST']) def login(): if request.method == 'GET': return render_template('login.html') else: userid = request.form.get('userid') userpassword = request.form.get('userpassword') res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"') if res: userid = res[0] if userid == 'admin': return f'hello ..

이 문제의 중요한 점은 admin의 비밀번호가 flag이고 admin으로 로그인하면 home화면에 flag가 출력된 다는 것이다. -> 따라서 우리가 고민해야하는 것은 admin으로 그럼 어떻게 구할 것인가 이다 이때 코드를 살펴보면 @app.route("/flag", methods=["GET", "POST"]) def flag(): if request.method == "GET": return render_template("flag.html") elif request.method == "POST": param = request.form.get("param", "") session_id = os.urandom(16).hex() session_storage[session_id] = 'admin' if no..

xss 우회하는 방법 사용하는 문제이다, 요런 형식의 태그를 사용했다. 해당 태그 onload 내 함수로 cookie 값을 출력하게 하면 값이 나온다. cookie 값은 DH{3c01577e9542ec24d68ba0ffb846508f} 이였다. https://noirstar.tistory.com/309 참고! *chat gpt가 설명해준 svg 태그 페이로드은 Cross-Site Scripting (XSS) 공격의 예시입니다. 이 페이로드은 취약한 웹 페이지의 SVG 이미지에 주입될 경우, 문서의 도메인을 나타내는 경고 대화상자를 트리거합니다. 페이로드의 구성 요소는 다음과 같습니다: : 이는 SVG(Scalable Vector Graphics) 요소의 시작을 나타냅니다. /onload=alert(doc..