분류 전체보기 (36) 썸네일형 리스트형 버그바운티를 시작하고 싶다면, 팁 몇가지 버그바운티는 쉽게 말해서 해킹할 수 있는 방법(취약점)을 찾아서 신고하는 것을 말합니다. 취약점을 찾는 것이 재밌기도 하고 돈도 벌 수 있는 수단이되기 때문에 많은 분들이 하고 있다고 생각합니다. 이 글을 쓰는 이유는 버그바운티를 시작하고 싶은 분들에게 작은 팁이라도 드리기 위해 작성합니다. 먼저 저는 이 글을 쓰는 시점에 취약점 분석을 시작한지 5개월이 되었고 미신고 취약점을 포함해서 8건의 취약점을 가지고 있습니다. 일단 1분기 포상 인증합니다. 생각보다 상금이 많이 나옵니다. 단점은 분기별로 포상금이 나오기 때문에 몇 개월간 기다려야한다는게 단점이죠 그래서 회사를 다니면서 주말이나 퇴근 이후에 취약점 분석해서 신고하면 연봉이 뻥튀기 되실겁니다.ㅋㅋ 잡담은 이제 그만하고 첫번째 저의 팁은 가능한 빨리.. 금융보안원 버그바운티 시작한다네요. 안녕하세요. 정말 오랜만에 글을 쓰네요. 요즘 정말 취약점 분석만 하고 있어서 하루하루가 너무 빨리 지나가요 몇 일전에 금융보안원에서 버그바운티를 한다는데요. 저한테는 희소식이 아닐 수 없습니다. 사실 최근에 은행권 프로그램을 건들기 시작했거든요.. 어제부로 퇴사도 했고.. 만약 버그바운티에서 5등 안에 들면 취직도 가능할지.. ㅋㅋㅋ 관심있으신 분들 계시면 참여해보는 것도 좋을 것 같습니다. 만약 취약점을 찾으면 취업에도 도움이 되거든요.... 저는 한 2주만 찾다가 취직 하려고 합니다.. ㅠㅠㅠ 화이팅 입니다! 해킹을 어필할 때 중요한 것은 '어떻게 악용되는가' 이다. 안녕하세요? 오늘의 주제를 다르게 작성하면, 해킹이 중요한게 아니라 어떻게 악용될지가 중요하다 입니다. 최근들어 정말 하루하루가 너무 빠르게 지나가고 있습니다. 1분기에 2건만 신고한 것에 비해 이번 분기는 벌써 2달이 지나서 1달이 남았는데 KISA 취약점 신고 횟수가 2배나 늘었습니다. 그러면서 신고한 부분에 대해서 어떤 점이 더 필요하다 라는 지적 이라기보다 해달라 라는 것도 듣고 있죠. 그러면서 KISA의 사정도 어느정도 듣게되는 것 같아요. 취약점 신고가 들어오면, 개발사에 연락해서 패치해주세요 라고 요청하지만 대부분의 돌아오는 대답은 이게 어떻게 왜 취약한거니? 라는 것 같습니다. 물론 이 내용들은 제가 직접 들은 것은 아니고 담당자들과 통화하면서 느낀 내용들이라 다를 수 있습니다. 예를 들어.. 내가 정부24, 홈텍스를 해킹 하는 이유 저는 최근 취미로 취약점들을 찾고 있습니다. 다른말로 하자면 비전공자 언어로 해킹을 하고 있습니다.. 왜 이것들을 취미로 하느냐? 라고 하실 수 있어서 오늘은 제 얘기를 하려고 합니다 벌써 2020년이 시작한지 몇일 전인 것 같은데 이제 곧 5월이네요 코로나 때문에 일들이 더 많아서 그런지 시간이 더 빠르게 지나가는 것 같아요 이제 잡담은 그만하고... 저는 정부24와 홈텍스 해킹을 요번년도 1월부터 시작했습니다. 아마도 비전공자분들이 많이 보실테니 해킹 이라고 말할게요. 사실 지금까지 저의 취미는 해킹이 아니라 난독화 코드를 해제하는 기법 연구였습니다. 난독화라고 하면 실행파일은 기계어로 되어 있는데요. 기계어를 많이 읽다보면 한국어처럼 보입니다. 그렇다면 실행파일 분석이 쉬워지겠죠. 그러한 사람들이 .. 무료로 AWS를 이용해 해킹 서버를 구축해보자! 안녕하세요. 오늘은 아마존 웹 서비스를 이용해 시스템 해킹 연습을 위한 서버를 구축해보겠습니다. AWS(아마존 웹 서비스)는 낮은 사양의 가상 서버를 받을 수 있는데요. 무료! 입니다. 먼저 AWS 사이트 가입을 해주세요! https://aws.amazon.com/ko/ 클라우드 서비스 | 클라우드 컴퓨팅 솔루션| Amazon Web Services 미디어 및 엔터테인먼트 Live Nation Entertainment, AWS를 사용하여 혁신 속도를 높이고 비용을 절감하며 애플리케이션 가용성을 개선 세계 최고의 라이브 엔터테인먼트 기업이 어떻게 AWS 클라우드를 사용하여 고객에게 개선된 경험을 더욱 빠르게 제공하는지 알아보십시오. 자세히 알아보기 보다 나은 고객 경험 추구 Live Nation은 콘서트를.. Blind Sql Injection에 대해 알아보자 ! 웹 해킹 2번 풀이 이번 글에서는 웹해킹.kr 2번 문제를 풀면서 Blind Sql Injection에 대해 알아보려고 합니다. Blind Sql Injection은 성공한다면 디비명, 테이블 명, 컬럼 명, 컬럼에 들어있는 데이터까지 훔칠 수 있는 취약점인데요 그러나 데이터 베이스 전체 데이터를 빼갈 수 있는 강력한 정보노출 취약점입니다만, 이 공격에는 단점이 하나 있습니다. 그것은 바로 지속적으로 sql 쿼리를 전송하여 데이터를 수집해야한다는 단점입니다. 이 웹 해킹 공격을 잘 모르시는 분들은 아마 이렇게 생각하실 겁니다. '무슨 점 때문에 지속적으로 쿼리를 날려야하는 것일까?' 글로 설명드리는 것은 이해가 안될 수 있으니 웹 해킹 2번 문제를 풀면서 어떤 점이 단점인지 알아보도록 하죠. 웹 해킹 2번 문제에 들어가게 .. 웹 쿠키가 공격 경로로 사용될 수 있다니?! 웹 해킹 1번 문제 풀이 이번 글에서는 같이 웹 해킹 1번 문제를 풀려고 합니다. 웹해킹.kr의 주소는 이름과 같이 https://webhacking.kr/ 입니다. 회원가입을 하시고 challenge(old)를 클릭하시면 문제들을 볼 수 있습니다. 1번 문제는 다른 내용 없이 소스코드를 볼 수 있는 버튼 하나가 있습니다. 소스코드 보기를 누르면 php로 작성된 소스코드가 나옵니다. 이전 글에서도 말했지만, 프로그래밍을 모르면 이 소스코드가 어떤 프로그램인지 감도 안잡힐 겁니다. 그래서 프로그래밍 경험은 필수! 입니다. 아래 php코드를 보면 쿠키값을 체크하는데요. $_COOKIE['user_lv']가 6과 크거나 같으면 1로 고정하고 5보다 크면 solve(1) 함수를 호출합니다. 아마도 solve라는 함수를 호출하게 되면 문.. 웹 해킹을 시작합니다! 웹 해킹 툴 burp suite 다운로드 및 사용법 안녕하세요. 이제부터 웹해킹.kr의 문제를 풀면서 웹해킹을 시작하려고 하는데요. 이유는 이직을 위해서 입니다... (지금 보안관제 일을 하고 있지만, 모의해킹이랑 연봉 차이가 너무 심하네요 ㅠㅠ) 아마도 웹해킹을 시작하시는 분들께 조금이라도 도움이 될 수 있을지 모르겠네요. 툴은 Burp Suite 무료버전을 사용할 것 입니다. https://portswigger.net/burp/communitydownload Download Burp Suite Community Edition PortSwigger offers tools for web application security, testing & scanning. Choose from a wide range of security tools & identify.. 모의해킹과 보안관제 업무상 차이점 안녕하세요! 오늘의 주제는 모의해킹과 보안관제의 업무상 차이점에 대해 써보려고 합니다 물론 저는 현재 보안관제 업무를 맡고 있고요. 그래서 모의해킹에 대해서는 아는 사람에게 건너듣는 정도이니 그 점 감안하시고 읽어주시면 될 것 같습니다. 먼저 모의해킹의 경우 최근 웹과 앱 모의 해킹할 줄 아는 사람을 많이 찾는 것 같더라구요 모의 해킹의 경우 실제 해킹 공격을 대상 웹서버에 진행하게 되죠 그래서 개인간 차이가 나는 경우도 많구요. 그래서 취약점이 안나오게 되면 일하는 입장에서 정말 힘들다고 하네요. 실제 블랙박스 테스트로 웹해킹을 시도하면 웹방화벽이나 IPS에 막히는 경우가 많아서 그점을 많이 생각해야한다고도 합니다. 그리고 소스코드 진단이 있는데요. 소스코드 진단의 경우 진단 툴을 돌리는 경우가 있는데.. 뉴비 해커라면 가장 먼저 배워야할 언어 파이썬! 안녕하세요! 오늘의 주제는 해킹 입문자라면 필수로 알아야할 파이썬에 대해 소개해드려고 합니다. 파이썬은 세상에서 가장 쉬운 언어로도 유명합니다. 또한 가장 핫한 언어를 선정하는 자리에 파이썬이 자바스크립트 다음으로 선정되기도 했습니다. 만약 뉴비 해커가 무슨 언어를 배워야 할까요? 라고 묻는다면 저는 고민하지 않고 파이썬을 추천해 줄 겁니다. 이제 그 이유를 알려드리죠 1. 배우기 가장 쉽다. 역시 가장 큰 이유는 가장 쉽다는 겁니다. C/C++을 하려면 메모리에 대해 어느정도 알아야 프로그래밍이 가능하고 디버깅 실력까지 있어야 하는데 그에 반해 파이썬은 print만 잘하면 됩니다! 2. 사용할 수 있는 라이브러리가 많다. 저 역시 정보보호학과에 입학해서 1학년에 C언어를 시작했습니다. 데이터를 저장하려.. 이전 1 2 3 4 다음
