보안
모두의 보안3기 코드게이트 공모전 결과
모두의 보안3기 코드게이트 공모전 결과
2019.03.192019 코드게이트 해킹 시연 영상 공모전에 참가를 계획한건 불과 2주일 전이었습니다.그날 밤에 3기 팀원 중 한분인, 도아씨가 공모전 포스터를 들고 오셔서는, 저희는 이런 공모전 같은거 참가 계획이 없냐고 하시더군요. 마침 조별 주제발표를 위해서 팀도 3개로 나누어 놓은 상태였고, 아직 마감까지 2주라는 시간도 남았길래.....참가해야겠다!!! 라는 생각이 머리를 가득 채웠던거 같습니다.아직 공모전등에 참여해본 경험이 없는 팀원분들이 참가하기에 더할나위 없이 좋은 기회라고 생각했었기 때문입니다.그렇게 2주뒤인 오늘 모든 멤버분들이 열심히 참여해 주신성과로, 총 3개의 영상이 성공적으로 완성되었습니다.그리고 또, 운이 좋게도, 제가 속해있는 재첩국팀이 우수상을 수상하여 상금 20만원을 받았습니다!난생처음..
모두의 보안3기 4주차 스터디 결과보고
모두의 보안3기 4주차 스터디 결과보고
2019.03.19모임 개요- 모임일시 : 2019년 3월 4일 ~ 2019년 3월 15일 활동 내용- 코드게이트 해킹시연 동영상 공모전 참가* 총 3개 팀으로 나누어 참가1. 재첩국팀 : 몸캠 안드로이드 해킹2. 암호르파티팀 : SSL-Strip을 이용한 계정정보 탈취3. 파이썬2.24팀 : Word 취약점을 이용한 웹 캠 해킹 과제- 공모전 수상하기
모두의 보안3기 3주차 스터디 결과보고
모두의 보안3기 3주차 스터디 결과보고
2019.03.05모임 개요- 모임일시 : 2019년 3월 3일- 시간 : 오전 10:00 ~ 오후 4:30- 장소 : 서울특별시 서초구 강남대로39길 26-1 거원빌딩 4층(컬처메이커스) 활동 내용- 리눅스 서버 점검스크립트 크로스테스트 및 취합* 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 기반 스크립트 작성, 리눅스 시스템 전반적인 체계 이해- 파이썬 제작 프로그램 자랑* 파이썬활용 모스부호 WAV파일 생성 프로그램 코드 자랑잔치- 코드게이트 해킹시연 동영상 공모전 참가 회의 과제각 팀별 공모전 참가하기
모두의 보안3기 2주차 스터디 결과보고
모두의 보안3기 2주차 스터디 결과보고
2019.03.05모임 개요- 모임일시 : 2019년 2월 24일- 시간 : 오전 10:00 ~ 오후 3:00- 장소 : 서울특별시 서초구 남부순환로 2606, 4층(페스트레인) 활동 내용- 리눅스 개요, 쉘스크립트 소개 (스텝 홍승현 강의)* 배포판별 리눅스, 쉘의 종류, 제어문자, 쉘 스크립트 기본 문법 및 유용한 명령어 등- 조별 활동 관련 토론 진행* 연구과제, 발표에 관한 토론 -> 2~3인 1조로 하여 공동의 주제로 연구하고 토론하기. 과제1주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(한국인터넷진흥원) 을 참고하여 리눅스 서버 점검스크립트를 작성하세요.(첨부 파일의 예제, 가이드를 참고) / 개인별로 작성할 스크립트 항목 배정표 참고*주의 : CentOS 6.6을 기반으로 스크립트를 작성할것.과제2..
모두의 보안3기 1주차 스터디 결과보고
모두의 보안3기 1주차 스터디 결과보고
2019.03.05모임 개요- 모임일시 : 2019년 2월 17일- 시간 : 오전 10:00 ~ 오후 3:00- 장소 : 서울특별시 서초구 강남대로39길 26-1 거원빌딩 4층(컬처메이커스) 활동 내용- xcz.kr 문제 (1~13번) 풀이[과제](배경준님 존경합니다...)* 스테가노그래피, 리버싱 기초, 안드로이드 스튜디오 사용법, dex2jar 활용 코드 디컴파일, 카이사르 & 비즈네르 암호 이해, 와이어샤크 활용 네트워크 패킷 분석(0.01초 맛보기)- 파이썬 활용 wav파일 데이터 분석 과제1문장을 입력으로 받고, 그에 해당하는 모스코드 wav 파일을 생성하는 파이썬 프로그램을 만들것.- 조건 : https://morsecode.scphillips.com/labs/audio-decoder-adaptive 사이트에서..
모두의 보안 3기 멤버 선발결과
모두의 보안 3기 멤버 선발결과
2019.03.04모두의 보안 3기 오프라인 스터디 멤버가 확정되었습니다.총 지원자 79명 중, 새로 선발된 멤버는 총 9명입니다. 스터디 멤버 선발은 1. 온라인 멤버모집 및 서류전형(총 지원자 79명중, 면접대상자 25명 선발)2. (2월 9일, 2월 10일) 오프라인 면접의 순서로 진행되었습니다. 약 9대1의 경쟁률을 뚫고 저희 멤버가 되신!!3기 오프라인 스터디 멤버를 소개합니다.김민종백진우사재경윤형준이용우이채민이혜민정재호최도아이진태홍승현 앞으로 10주간 많은 활약 부탁드립니다!
모두의 보안3기 멤버 모집
모두의 보안3기 멤버 모집
2019.03.04안녕하세요! 모두의 보안입니다. 3기부터 함께할 멤버를 모집합니다.모두의 보안은 보안에 대한 열정은 있지만, 길을 못찾고 계시는 분들을 위해 힘을 모으기 위해 만든 커뮤니티 입니다.보안에 대한 열정을 가지고 성실하게 참여하고, 함께 커뮤니티를 만들어갈 수 있는 분이라면 그 누구든 환영합니다! 이번 3기 모집은 온라인 접수, 오프라인 면접 두 단계로 진행됩니다.경험이 부족하고 아는 것이 많지 않아도 모르는 내용은 서로 가르쳐주면서 오랫동안 함께 공부하고 발전할 사람을 찾습니다. 모임은 주 1회 일요일에 약 5~6시간 진행이 되며, 모임일에는 산출물 발표와 토론, 토막 강의 등이 진행이 됩니다.주간에 연구한 내용을 모임일에 공유하고 연구하는 형태이므로 시간적 여유가 많은 분들이 지원해 주셨으면 합니다. 오프..
[SUNINATAS 23번] 문제풀이
[SUNINATAS 23번] 문제풀이
2018.08.26WEB Level 22써니나타스의 마지막 문제입니다. level23의 문제도 22번 문제와 같이 Blind Injection문제입니다.문제에도 "Hard Blind Sql Injection"이라고 적혀있듯, 몇가지 제약사항으로 인해 난이도가 조금더 상승한 모습을 볼 수 있습니다. 난이도를 상승시킨 요소들은 다음과 같습니다. admin 문자열 필터링 규칙 추가입력가능 문자길이 30자 제한 소스의 주석부분을 살펴보면, admin의 패스워드를 찾는 것이 이 문제의 목적인 것 같습니다. 먼저, admin의 pw를 찾아야 하는 문제이기 때문에, 인젝션하여 검색할 튜플을 특정짓기 위해서 admin이라는 id정보를 필터에 걸리지 않게 쿼리로 전달할 방법을 찾아야 했습니다. 그 결과, 제가 찾은 방법은 두가지 정도였습..
[SUNINATAS 22번] 문제풀이
[SUNINATAS 22번] 문제풀이
2018.08.17WEB Level 22써니나타스의 다음 웹 관련 문제는 level22번 문제입니다. 22번 문제는 Blind Sql Injection에 관한 문제입니다. 로그인 창이 하나있고, “Blind Sql Injection” 이라는 문구가 친절하게 써져있습니다. id와 pw를 써 넣는 곳이 있고, 이 곳에 넣은 값은 해당 프레임이 참조하는 데이터베이스의 쿼리문의 일부로 전달이 됩니다. 이 값을 개발자가 의도하지 않은 적절하지 않은 데이터를 삽입하면, 적절한 필터링이 안되어 있을 경우, 공격자가 임의로 데이터베이스를 조작하거나 참조할 수 있게 됩니다. 블라인드 SQL 인젝션의 경우에는, 데이터베이스 조작을 통해 직접적인 데이터베이스 내용을 볼 수는 없지만, 주로 참, 거짓을 판단하는 구문을 전달해, 각 상황에 따라..
[SUNINATAS 8번] 문제풀이
[SUNINATAS 8번] 문제풀이
2018.08.16WEB Level 8level8은 굉장히 간단한 문제이면서도 귀찮은 문제입니다. 물론, 공격용 코드를 작성할 줄 모른다는 가정 하에 말입니다. 문제를 간단하게 살펴보면, 로그인을 하는 것이 목적이고, 주어진 힌트정보에 따르면, admin 계정으로 로그인 할 수 있고, 그의 비밀번호는 0~9999 사이의 숫자라는 것을 알 수 있습니다. 헤더 정보를 확인해보니, 로그인 요청을 할 때, 페이지 요청방식은 POST 방식이고, 파라미터로 id, pw 두 개의 필드를 이용해 서버에 전달하고 있었습니다. 페이지 요청방식을 알아낸 이상, 코드를 만드는 것은 누워서 잠자기입니다. 파라미터의 pw 필드의 값을 0~9999 까지 변경하면서 최대 1만 번 반복하여 페이지를 요청해보면서, 응답 페이지 소스에 Password I..
[SUNINATAS 7번] 문제풀이
[SUNINATAS 7번] 문제풀이
2018.08.15WEB Level 7level7은 들어가자마자 눈이 즐겁습니다. 페이지의 동작을 확인하기 위해서, 전체 페이지의 가운데에 위치한 YES버튼을 눌러보았더니, “Fail.. Your too slow" 라는 메시지만, 뜨고 반응이 없습니다. 페이지의 소스를 확인해 보니, 주석으로 라는 힌트가 있었습니다. 정황으로 보아, 저 YES라는 버튼을 최대한 빨리 눌러야 하는 것으로 보입니다. 프록시 툴로, 페이지를 요청할 때, 아쉽지만, 아이유와 윤아의 사진, 개행 들을 모두 제거하고, 페이지와 YES버튼의 구조만 남겨두고, 요청하여 YES버튼을 재빨리 눌러보았지만, 아무리 해보아도 해결이 안되는 것으로 보아, 더 빠른 반응을 요구하거나, 서버에서 페이지를 제공한 시점으로 부터의 응답시간을 체크하는 것으로 판단이 되어..
[SUNINATAS 6번] 문제풀이
[SUNINATAS 6번] 문제풀이
2018.08.15WEB Level 6Level6에 들어가면 5개의 게시글이 올라온 게시판이 하나 나옵니다. 눈에 들어오는 1번 게시물을 보면 “Reading suninatas's Writing!^^” 이라는 힌트 아닌 힌트가 써져있습니다. 2번 게시물에는 md5 해시를 인/디코딩 할 수 있는 사이트의 링크가 보입니다. (https://md5hashing.net/) 4번과 5번 게시물에는 의미를 알 수 없는 말들이 써져있었습니다. 3번 게시물을 클릭하자, 팝업창이 하나 떴습니다. Password를 입력하라는 메시지가 떠 있었는데, 친절하게도 입력한 패스워드가 어떻게 쿼리 되는지에 대한 쿼리문이 아래에 자세하게 나와 있었습니다. 사용자가 적절한 패스워드를 입력하면, T_Web13 이라는 테이블에서 nldx값이 3인 라인의 ..