일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
- 웹해킹
- PWN
- CodeEngn
- Shadow 동아리
- writeup
- ctf
- 리눅스
- buffer over flow
- requests
- ftz
- RITSEC
- termux
- x64dbg
- Hackerschool
- RITSEC CTF 2019
- SQL Injection
- 리버싱
- 버퍼오버플로우
- webhacking
- HackCTF
- NewsClipping
- Next.js
- Nop Slide
- Python
- Linux
- 보안뉴스
- 어셈블리어
- BOF
- 뉴스클리핑
- reversing
- Today
- Total
목록2020/02 (4)
Jaeseo's Information Security Story
기본 필수 작업 시작 DELL XPS 13 7390 Developer Edition는 기본 ubuntu 18.04 LTS 버전이 기본 설치 되어 있어서 바로 설치를 진행하고 사용하기 시작 했습니다. google chrome public sign key 에러 해결 일단 sudo apt-get update를 진행 해보면 Chrome repo에서 업데이트 에러가 발생하는데 이때의 오류는 public sign key가 오래되어서 발생하는 오류이다. 아래의 명령어를 이용하여 해결을 하였습니다. wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add - 키보드 한글 키 추가 그리고 키보드 한영전환을 할때 내가 구매한 ..
TeamMODU 스터디를 진행하면서 이번에 알게된 스킬에 대해 정리 요약한 PPT. 뭔가 설명을 해볼려고 노력을 했지만 엉성하게 완성이 되었다 ㅠㅠ 담에는 제대로 준비해서 발표를 준비해야 할 것 같다.
CSP(Content Security Policy)란 웹 브라우저에서 사용되는 콘텐츠에 대한 보호 정책입니다. 웹에서 사용되는 콘텐츠 즉 이미지, 동영상, 스크립트 등에 대해 사용을 허가를 하는지에 대해 정의를 하는 규칙 입니다. 이 보호 정책을 이용하여 XSS에서 이용되는 src의 주소를 자신의 하위 도메인 또는 자기 자신에게만 허용함으로 외부의 공격에 방어를 할 수 있습니다. 일단 문제를 확인 합니다. Description : I made an simple echo service for my API practice. If you find bug, please tell me! 그리고 api.php에 대해 소스 파일을 제공하는데 일단 확인 합니다.
일단 문제를 들어가 봅니다! 들어가 보면 이상한 hash값과 password를 입력 할 수 있는 inputbox가 제공되어 있습니다. view-source를 클릭 하여 소스를 확인해봅니다. Password [view-source] 소스를 보니 random한 숫자에 salt_for_you를 붙이고 그값을 저장한후 그값을 500번 sha1 hash 한 다음 그값을 보여 주는 것으로 보입니다. hash를 하기전 random.salt_for_you의 값을 알아야지 넘어갈수 있는데 이때 rainbow table를 사용하여 문제를 해결 하면 될것 같습니다. import hashlib for i in range(10000000,100000000): hash_tmp = str(i)+"salt_for_you" f = o..