전체 글 썸네일형 리스트형 [NOOBHACK] CSP보안 기법 오늘은 아 몰랑 CSP(Content Security Policy) 컨텐츠 보안 정책이나 배우자 정말 정말 간단하게 말하면 코드를 실행하기 전에 어느 링크로 부터 코드에 왔는지 확인하고 코드를 실행 하는 보안 기법이다 예를 들어 서버가 A링크에서 온 입력값만 허용하고 받아 들인다면 B링크,C링크에서 오는 입력값이나 코드는 전부 받아들이지 않는 것 입니다. 정말 간단하쥬? XSS를 막기 위한 목적으로 만든 보안 기법이다 지시문들의 모임인데 이게 뭐냐면 리소스의 출저를 정의하는 지시문이다 default-src -src로 끝나는 모든 리소스의 기본 동작을 제어합니다. 만약 CSP 구문 내에서 지정하지 않은 지시문이 존재한다면 default-src의 정의를 따라갑니다. img-src 이미지를 로드할 수 있는 출.. 더보기 [NOOBHACK] XSS 공격 기법 오늘은 XSS 공격 기법에 대해 알아볼거다 XSS란 크로스 사이트 스크립팅인데 워낙 되게 유명한 공격 기법이라서 웹 해킹을 배웠다면 다들 알고 있을 것이다 입력값에 코드를 넣으면 입력값이 그대로 코드대로 실행 되는 건데 이걸로 alert()같은걸로 테러 할 수 있다 기본적인 공격 예시이다 node js를 해 봤다면 더더욱 이해가 가는 구문일 것 이다. 공격 기법에 따라 Stored XSS와 Reflected XSS로 나뉘는데 대부분 발생하는 XSS는 Stored XSS가 대부분이다 Stored XSS는 사이트 게시판이나 댓글 등 DB나 서버에 저장 되는 식으로 서버나 DB가 꺼내 올 때 마다 실행이 되는 방식이며 Reflected XSS는 보통 URL 파라미터에 스크립트에 넣어 실행하는 방식이다 Refl.. 더보기 [NOOBHACK] 해킹 공부에 관해서 요즘은 해킹을 공부하면서 공부하는 방법을 모르는 초짜들을 위해서 공부에 대해 조언을 해주겠다 이젠 하다하다 꼰대 블로거가 되었다 일단 해킹 공부란 우리가 학교에서 배우는 공부랑은 거리가 꽤 있다 해킹이라는 분야는 성적이라는 학생의 노력이나 학문의 깊이를 보여주는 지표가 없고 학교 공부와 중간고사, 기말고사,수능 등 달리 범위라는 개념이 없는 분야다 그러므로 자격증보단 실력(ctf 우승 등)이나 실적이 실력을 증명하는 분야다 학교에선 1등급만 받으면 끝이지만 해킹은 그런거 없이 자신의 실력만 갈고 닦으면 된다 운동이라고 생각하면 된다 운동을 해서 몸매를 갈고 닦는다 해도 학교에서 체육 성적이 무조건 좋다고 할 수 없다 하지만 운동을 열심히 하여 자신의 피지컬 만큼은 확실하게 가지게 되는 것이다 해킹 공부도.. 더보기 [NOOBHACK] 프로그램 자동 설치 프로그램 자 오늘은 자동 앱 설치 프로그램을 만들었다 컴퓨터를 포맷하고 앱 다시 깔기 귀찮을 때 실행하면 매우매우 편하다 코드는 준내 짧다 그냥 다운 링크를 두고 webbrowser모듈로 열어 재끼면 끝이다 import webbrowser a=["https://app-pc.kakaocdn.net/talk/win32/KakaoTalk_Setup.exe", "https://cdn.akamai.steamstatic.com/client/installer/SteamSetup.exe", "https://code.visualstudio.com/docs/?dv=win", "https://www.python.org/ftp/python/3.10.6/python-3.10.6-amd64.exe", "https://discord.com.. 더보기 [NOOBHACK] XEROSPLOIT 리뷰 오늘은 xerosploit 사용하는 방법을 알아볼거다 xerosploit이란 중간자 공격이라는 툴 프로그램이다 일단 중간자 공격이란 다들 알아서 배워오길 바란다 https://noobhack.tistory.com/12 [NOOBHACK] 중간자 공격 MITM 오늘은 네트워크 공격 기법중 하나인 중간자 공격(MITM)에 대해 알아볼 것이다. 일단 원리를 알아 보자면 사용자와 서버라는 친구들이 있는데 패킷이라는 데이터의 집합을 주고 받고 해커가 그 noobhack.tistory.com 일단 설치부터 해보자 git clone https://github.com/LionSec/xerosploit.git cd xerosploit ./install.py 터미널 창에 이렇게 치면 된다 끝이다 그리고 xerosploit.. 더보기 [NOOBHACK] 중간자 공격 MITM 오늘은 네트워크 공격 기법중 하나인 중간자 공격(MITM)에 대해 알아볼 것이다. 일단 원리를 알아 보자면 사용자와 서버라는 친구들이 있는데 패킷이라는 데이터의 집합을 주고 받고 해커가 그 사이에 패킷을 NTR해 간다고 생각하면 된다. 이걸 읽고 바로 이해가 된다면 당신의 뇌는 썩었다 아무튼 그림으로 더 알아보자 이런 식이다 user와 서버가 패킷으로 교환하며 놀고 있다가 해커가 이걸 가로채 패킷의 정보를 훔쳐보거나 수정 할 수 있다 유저와 서버가 보내는 패킷은 전부 해커에게 오간다고 생각한다 또한 유저와 서버 사이에는 공유기가 존재하는데 해커가 공유기를 대신한다고 생각하면 된다 다음 내용에는 XEROSPLOIT 툴을 배워 볼 것이다 더보기 [NOOBHACK] Canary 메모리 보호 기법 오늘은 시스템 해킹에서 자주 사용 돼는 Canary 보호 기법에 대해 알아볼 것이다 먼저 Canary의 기원 같은건 집어 치우고 대충 새 이름이며, 광부들이 질식사 하지 않기 위해 산소 농도에 민감한 Canary라고만 설명 하겠다. 먼저 우리가 흔히 아는 버퍼 오버 플로우, BOF를 방지하기 위해 사용되는 방법인데 먼저 스택이 있다고 가정하자 [.........buf..........] [Canary] [buf]... 이런 스택이 있다고 가정 했을때에 BOF로 메모리 컬렉션을 시도한다 [AAAAAAAAAA] [AAAAA] [AA..buf]... 이렇게 Canary라는 데이터 값이 BOF에 의해 망가졌으면 Canary가 급발진해 시스템을 종료시킨다 대충 이런식이다 Canary라는 데이터 값은 기본적으로 x.. 더보기 [NOOBHACK] NX(NO- eXecute) 오늘은 NX(NO-eXecute)에 대해 알아볼거다 잔말 말고 시작하자 NX이란 프로그램이 시작할 때 실행에 사용되는 메모리와 쓰기에 사용 되는 메모리의 영역을 나눈 보호 기법이다. 한 메모리 영역에 쓰기 권한과 실행 권한이 있으면 시스템이 터질 수 있다 코드영역에 쓰기 권한이 있으면 해커는 코드를 수정하여 악성코드가 실행 하게 할 수도 있고 반대로 스택과 데이터 영역에 실행 권한이 있으면 프로그램이 터질 수 있다 그렇기에 NX가 있으면 권한 분리를 철저히 할 수 있어 메모리를 보호 할 수 있지만 문제 메모리 영역의 보호 기법이기에 CPU가 지원 하냐 마냐에 사용 여부가 달라진다 만약에 NX를 지원 한다면 NX가 적용 된 바이너리에는 필요한 영역의 메모리만 할당 받고 권한 분배를 받는다 NX가 적용된 바.. 더보기 이전 1 ··· 5 6 7 8 9 다음
