728x90 분류 전체보기217 [보안 뉴스] AI 이제는 해킹까지..? 기사 제목 : AI로 은행 털려는 해커, 우리가 AI로 막는다 날짜 : 2024-01-29 기자 : 강신 기자 기사 내용 “인공지능(AI)의 발달로 블랙 해커(비윤리적 해커)들이 악성코드를 찍어 내는 속도가 전보다 100배는 빨라졌습니다. ” 금융보안원의 금융 전문 모의 해킹 조직 '레드 아이리스'의 정영석 팀장, 김현민 수석에 의하면 최근 해커들의 공격 방식은 전과 비교할 수 없이 고도화, 정교화되었다. “표적을 정해 아주 오랜 기간 집요하게 공격하는데 상대측이 공격당하는 줄도 모를 정도로 해킹은 은밀하게 이뤄진다. 우리가 얘기를 나누는 이 순간에도 누군가는 공격받고 있다”고 말했다. 인터넷 전화기로도 해킹이 가능하며 “해커들은 상상할 수 없는 갖가지 방식을 동원한다. 보안 담당자 혼자서는 다 막기 어.. 2024. 1. 29. Dreamhack - level 3 - XSS Filtering Bypass Advanced 이번 문제는 필터링 우회가 필요한 XSS 문제로 Portswigger에서 풀었던 문제와 많이 유사한 문제였다. 하지만 예상치 못한 곳에서 많이 헤매다가 풀고 나니 자만하면 안 되겠다는 걸 깨달았다.... 심지어 풀이해봤던 방식의 문제였는데 ㅋㅋㅋ 2024. 1. 28. Dreamhack - level 2 - sql injection bypass WAF Advanced 이번 문제는 WAF로 방어가 되어 있는 sqli문제로 각 주요 단어, 문자들이 필터링되어 있다. Lord of sql injection문제들을 풀어봤으면 쉽게 풀 수 있는 난이도로 힌트아닌 힌트를 주자면 flag값은 DH{소문자+숫자}로 구성되어 있다. (flag값 대문자로 입력해서 삽질좀 했다....) 2024. 1. 26. Dreamhack - level 2 - login-1 이번 문제는 2단계 문제로 1단계 문제보단 나름 난의도가 있었다. 1단계는 기본적인 해킹기법의 개념만 이용했다면 2단계부터는 그걸 응용하고 고민해서 풀이를 생각해야됐다. 이 문제를 풀면서 직접 파이썬 코드를 작성하여 새로 익힌 개념도 있어 도움이 되었다. 2024. 1. 26. Dreamhack - level 1 - simple_sqli_chatgpt 이번 문제는 진짜 간단한 sqli 문제로 문제 코드만 잘 읽으면 쉽게 풀 수 있다. 풀이도 등록해 놨으니 참고하길 바란다 2024. 1. 24. Dreamhack - level 1 - baby-union 오랜만에 드림핵 문제를 풀어봤는데 이젠 1단계 문제는 부드럽게 풀리는 것 같다. 중간중간 문법 까먹는정도? union문제라 portswigger에서 했던 거 똑같이 하면 쉽게 풀 수 있다. 2024. 1. 23. [보안 뉴스] 국내 인터넷 강의 사이트에서 개인정보 유출...! 기사 제목 : 국내 인터넷 강의 사이트 ‘대성마이맥’ 해킹... 9만 5천여 명 개인정보 유출 날짜 : 2024-01-21 기자 : 이소미 기자 기사 내용 대성마이맥은 많은 회원 수를 보유하고 있는 인강사이트로 지난 16일 해당 사이트의 회원 9만 5,170건에 해당하는 개인정보가 해킹당했다. 이번 해킹으로 유출된 개인정보는 이용자 ID, 마스킹 된 이름, 핸드폰 번호, 이메일등으로 알려져 있다. 유출된 정보는 이미 마스킹된 정보로 개인 식별이 어려워 비교적 안전하다는 입장이다. 하지만 일부 회원의 경우 ID에 자신의 이름이나 전화번호 앞자리 등을 사용해 개인 식별이 가능한 경우도 있어 보이스피싱 등의 범죄에 악용될 수 있다는 우려가 있다. 대성마이맥에서 필수적으로 수집하고 있는 개인정보 항목은 - 이름.. 2024. 1. 22. Portswigger - DOM XSS using web messages and JSON.parse solution 이번 문제는 웹 메시지를 JSON으로 구문분석하고 print함수를 호출하면 문제가 풀린다. 사이트의 script문을 보면 createElement로 ifame 태그를 생성하고 iframe변수로 선언한다 그리고 appendChild를 이용해 iframe 변수를 body안에 넣는다. 그다음 JSON.parse를 이용해 e.data 즉, 메시지의 내용을 자바스크립트 객체로 만들어준다. 이로써 메시지를 JSON형태로 작성하면 되는 걸 알 수 있다. 그 아래 switch문을 봐보자 3가지의 case로 나눠져 있는데 이중 우리가 주목해야 될 case는 두 번째다. 만약 d.type 즉, JSON형태의 메시지에서 type키를 가진 값이 load-channel일 때 ACMEplayer.element.src(iframe.. 2024. 1. 18. Portswigger - DOM XSS using web messages and a JavaScript URL solution 이번 문제는 웹 메시지와 자바스크립트 url을 이용한 DOM XSS문제다. 사이트 script를 보면 메시지로 받은 내용을 url변수에 저장 후 url에서 http:나 https:가 존재한다면 url주소로 리다이렉트 시켜준다. print() 함수를 출력해야 하므로 javascript를 url에서 실행시켜야 된다. https://jh-hack.tistory.com/85 Portswigger - DOM XSS in jQuery anchor href attribute sink using location.search source solution 문제를 해석하면 anchor 요소를 찾아서 href를 바꿔라 그래서 back링크가 document.cookie를 alert함수로 호출하면 문제가 풀리는 것 같다. 우선 .. 2024. 1. 17. Portswigger - DOM XSS using web messages solution 이번 문제는 웹 메시지를 이용한 DOM XSS 문제다. 사이트의 html을 살펴보면 addEventListener함수를 이용해 message를 수신을 받아 ads라는 id를 가진 div자리에 넣어주는 것 같다. 그럼 message를 수신받으려면 송신하는 방법도 알아야 되는 여기서 사용되는것이 window.postMessage이다. https://developer.mozilla.org/ko/docs/Web/API/Window/postMessage Window.postMessage() - Web API | MDN window.postMessage() 메소드는 Window 오브젝트 사이에서 안전하게 cross-origin 통신을 할 수 있게 합니다. 예시로, 페이지와 생성된 팝업 간의 통신이나, 페이지와 페이.. 2024. 1. 15. 이전 1 ··· 6 7 8 9 10 11 12 ··· 22 다음 728x90
