1. LAN과 SSIDSSID (Service Set Identifier)SSID는 특정 도메인에서 서비스를 제공하는 액세스 포인트(AP)의 고유 식별자. 보통 비콘 프레임(Beacon Frame) 을 통해 평문 형태로 전달된다.( 비콘 프레임은 Wi-Fi 네트워크에서 AP(Access Point)가 주기적으로 방송하는 관리 프레임)주요 용어AP (Access Point) : 무선 네트워크의 중앙 역할을 하는 장치STA (Station) : 네트워크에 접속하는 클라이언트 장치 (예: 스마트폰, 노트북 등)2. IEEE 802 시리즈IEEE 802 시리즈는 LAN(Local Area Network) 표준을 위한 위원회에서 정의한 네트워크 규격.무선 LAN에 대한 표준은 IEEE 802.11이 담당.IEEE..

평소 클라우드에 관심은 있지만 어려워 보여 접근을 하지 못했는데네이버 클라우드에서 주최하는 HANDS-ON-LAB은 무료 교육이라길래 다녀와봤습니다! 먼저 HANDS ON LAB에 대해 설명드리자면네이버 클라우드에서 진행하는 무료 교육으로 네이버를 처음 접하는 사용자가 대상입니다.교육 시간은 10시~17, 교육장소는 네이버 클라우드 플랫폼 교육장 (강남 테헤란로)였습니다.점심 식사와 카페 음료가 제공되었고 대신 노트북이 필수였습니다 ▼ 신청은 아래의 네이버 클라우드 플랫 사이트에서  NAVER CLOUD PLATFORMcloud computing services for corporations, IaaS, PaaS, SaaS, with Global region and Security Technology C..

● SQL INJECTION 공격 종류    ○ IN-BAND SQL INJECTION        가장 일반적인 SQL injection으로 같은 통신 채널을 사용하여 공격 코드를 주입하고 결과를 수집할 수 있을때 수행하는 공격     - Error based SQL injection : 쿼리를 조작하여 에러를 발생시키고 에러 메세지를 분석하여 정보를 수집하는 공격     - Union based SQL injection : 두개 이상의 SELECT 구문을 사용해 연접하여 추가정보를 포함하도록 하는 공격    ○ BLIND SQL INJECTION        인벤드 SQL 인젝션과 달리 직접적인 결과 수집이 어려울 경우 사용하는 공격 기법     - Bolean based SQL injection :..

●IDS란?Intrusion detection system의 약자로 시스템에 대한 원치 않는 조작을 탐지하여 준다. 즉 탐지가 핵심 기능이다. 이미 발견되고 정립된 공격 패턴을 미리 입력하여 해당 패턴을 탐지하면 알려주도록 설정되어있다.HIDS(호스트 기반)와 NIDS(네트워크 기반)로 구분 가능하며, 설치의 위치에 따라 구분된다. 스노트가 대표적이다. ●IPS란?Intrusion prevention system의 약자로 시스템에 대한 원치 않는 조작을 탐지하고 차단해준다. 즉 IDS에서 발전해 방화벽의 차단 기능을 부과한 시스템이라고 생각하면 된다. 따라서 IPS와 IDS의 차이점은 차단기능의 유/무이다.

●사이버 훈련장 이용방법사이버 훈련장 이용방법에 대해 자세히 기술했습니다.접속이 되지 않는 오류가 있을때 해결 방법도 기술해놨으니 끝까지 글 읽어주시면 감사드리겠습니다.  1. 가명정보 활용 종합지원플랫폼 접속 후 회원가입/로그인 하기    ↓ 접속 링크 ↓  가명정보 활용 종합지원플랫폼가명처리 기술 지원 가명 · 익명처리에 어려움이 큰 중소기업, 스타트업, 공공기관 등에서 소유한 데이터를 직접 가명처리할 수 있도록 솔루션을 제공합니다.data.privacy.go.kr  2. 헤더의 사이버 훈련장 - 사이버 운영 신청 클릭3. 온라인 신청서 작성상세정보 입력 후 제출 버튼 누르면 됩니다. 요청하는 정보가 많지 않아 1~2분이면 작성 가능합니다.  4. 헤더의 마이페이지 - 사이버 훈련장 클릭사이버 훈련장..

마이크로소프트에서 진행하는 인공지능 시험에 합격하여 자격증을 발급받았습니다! 해당 코스는 MS사의 AI 자격증 중 가장 기초의 레벨입니다. 출제되는 문제유형은 AI관련 기본 개념 + Azure AI 서비스 사용방법(MS사의 인공지능 플랫폼)으로 쉬운 편이예요. 저는 인공지능 수업을 듣고 있는 전공자로써 3시간 정도 투자했습니다. 비전공자시라면 넉넉잡아 하루정도 꼬박 투자하시면 충분히 취득 가능하실 것 같아요 머신러닝/컴퓨터비전/NLP/대화형AI + 아자르에 관해서 나왔습니다. 공부방법은 무료코스와 유료코스로 나눌 수 있을 것 같은데 제 경우에는 특정 프로그램을 지원했는데 해당 프로그램에서 유료코스를 무료로 지원해줘서 유료문제풀이로 공부했어요! 전공자시라면 기본 개념을 익히는 것보다 바로 문제풀이로 들어가..

2023년 2학기에 실시한 TOPCIT에서 수준3를 취득했습니다.상위 30%안에도 못 든 성적이지만 그래도 3시간 벼락치기하고 50분 일찍 나온 것 치고 생각보다 점수가 높아 놀랐습니다. TOPCIT은 소프트웨어 역량 검정(TOPCIT: Test Of Practical Competency in IT)으로써 소프트웨어를 활용한 창의적 문제해결 능력을 평가받고자 하는 사람을 대상으로 실시하는 검정시험입니다.   시험공부는 전날 벼락치기로  (1) topcit 시험 환경 연습https://www.topcit.or.kr/board/preview.do TOPCIT 연습하기 | TOPCIT" data-og-description="" data-og-host="www.topcit.o..

이는 인자가 ""에 쌓여 출력되고 문자 제한이 걸린 command injection 문제이다.  따라서 문자제한 회피를 위해 위와 같이 burp suite를 이용하였다. 1.1.1.1 ls 출력 -> 문자제한으로 막힘proxy로 문자제한 우회1.1.1.1을 보내고 그 후 proxy하여 ; ls를 출력해봄 -> “” 가 붙어 해당 명령어 막힘"{host}"로 되어있는것 발견“” 우회하기"; ls ./ " -> 막힘여기서 포인트는 둘다 주소인것 따라서 따옴표로 묶어도 오류 안남"; ls “./” 하면 먹힘! -> 여기 아래에 flag.py 발견함그렇다면 "; cat "./flag.py"하면 답 발견가능함!

해당문제는 sql injection 유형이다.@app.route('/login', methods=['GET', 'POST'])def login(): if request.method == 'GET': return render_template('login.html') else: userid = request.form.get('userid') userpassword = request.form.get('userpassword') res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"') if res: use..

이 문제의 중요한 점은 admin의 비밀번호가 flag이고admin으로 로그인하면 home화면에 flag가 출력된 다는 것이다.-> 따라서 우리가 고민해야하는 것은 admin으로 그럼 어떻게 구할 것인가 이다  이때 코드를 살펴보면@app.route("/flag", methods=["GET", "POST"])def flag(): if request.method == "GET": return render_template("flag.html") elif request.method == "POST": param = request.form.get("param", "") session_id = os.urandom(16).hex() session_stor..