클라이언트 사이드 취약점들은 본인을 식별하기 위한 사용자 정보, 즉 쿠키에 저장된 세션 아이디 탈취해 사용자 권한을 얻거나 사용자의 브라우저에서 자바스크립트를 실행하여 사용자가 보낸 것처럼 요청을 전송하는 것을 주 목적으로 합니다. # Keyword - Same Orgin Policy(SOP) : scheme, host, port의 구성 요소를 가지며 모두 같은 값을 가지고 있다면 동일한 오리진(Origin)이라고 합니다. # Content 1. Cross Site Scription (XSS) : 공격자의 입력값이 크로스 사이트의 자바스크립트 일부로 웹 브라우저에서 실행되는 취약점 실행된 스크립트는 해당 사이트의 일부가 되어 SOP 제약 없이 사이트의 구조를 변경하거나 임의 HTTP 요청을 보낼 수 있습..
기억나는 내용과 꼭 다시봤으면 하는 내용을 위주로 올려둘 예정이다. # Keyword - Web Browser (웹 브라우저) : 웹에 접속하기 위해 사용하는 소프트웨어입니다. - Web Resource : 웹 상에 존재하는 모든 콘텐츠입니다. (HTML, CSS, JS, PDF, PNG 등) - URI (URL) : URI는 Uniform Resource Identifier의 약자로 리소스를 식별하기 위한 식별자입니다. - HTTP (HyperText Transfer Protocol) : 인터넷 서비스에서는 서비스 대상 간 통신 규약(Protocol)을 지정하여 통신합니다. HTTP는 웹을 이용하기 위한 통신 규약입니다. # Contents 1. URL의 정보파악하기 http:// example.com..
2020-07-28 프로젝트가 시작된 이래, 첫 대면회의가 이루어졌다. 음??? 오후 2시부터 진행되어 6시에 끝난 회의의 큰 주제는 다음과 같다. 1. 텐서플로우에 대해 어떻게 공부하였는가? 2. 필터링 방식에 대한 회의(feat.CNN) 3. 다음 학습 계획 먼저 tensorflow에 대한 학습을 각자 얼마나 진행하였는지 확인한 결과 대부분은 맛보기에 그쳤고, 다운님만이 책을 이용해서 단계별 학습을 진행하고 있었다. 또한 책을 통한 학습이 다른 팀원들보다 이해량이 많았고, 단순히 따라가기만 하면 되기 때문에 학습을 위한 서칭에 어려움을 겪지 않는다는 장점이 있었다. KUCIS로부터 프로젝트 지원을 받을 때, 지원금을 일부 수령했어야 했는데 학습에 있어서 이러한 어려움을 미쳐 예상하지 못했고, 시기가 ..
2020-07-28 회의가 있기 전까지 구글 코랩과 유튜브 자료를 통해 텐서플로우(tensorflow)를 직접 코드작성을 통해 익혀보았다. 주로 동빈나 유튜브를 참고하여 예제코드들을 모두 따라서 작성해보았으며, 간단하게는 변수 선언 방식부터 선형 회귀 함수를 사용해보면서 손과 눈으로 접해보았다. 자세하게 이론적인 내용은 모르지만 코드가 어떠한 기능을 하는지 간단하게 분석하는 식으로 정리하겠다. # 선형 회귀 * 참고로 tensorflow 2.0이 사용되질 않아서 특별 조치를 취했다.( tf.disable_v2_behavior() 선언 ) import tensorflow.compat.v1 as tf tf.disable_v2_behavior() xData = [1,2,3,4,5,6,7] yData = [25..
* 동아리 내부 CTF입니다 glibc-2.23 #1. 문제 살펴보기 출제자는 나다. 이번에 들어온 신입 20학번들을 위하여 MISC 수준의 난이도로 출제했다. 기본적으로 MISC답게 잡기술을 하나 첨가했다. 보호기법을 확인해보면 GOT 를 찾을 수 없다고 발생하며 Packer부분에 UPX를 통해 패킹되었다고 확인된다. IDA를 통해 보아도 upx에 대한 언급이 있다. 아마 적어도 의지가 있다면 발견했을 것이다. #2. 문제 분석하기 upx에 대해 인터넷에 찾아보면 언패킹할 수 있는 정보는 쉽게 찾을 수 있다. 그렇게 언패킹하게 되면 모든 보호기법이 걸린 상태로 확인할 수 있다. 하지만 해당 문제에서는 보호기법을 우회할 정도의 수준이 아닌 정말 기본적인 byte overflow를 이용한 문제이다 언패킹 ..
2020-07-20 육군 정보보호병 면접 보통 2학년이 끝나고 정보보호병을 가는게 일반적이지만 bob 9기에 떨어진 충격으로 2학년 1학기를 마치고 지원하게 되었다. 서류전형에서 획득한 가산점은 다음과 같다. 정보보호학과 2학년 1학기 수료 = 16점 고교 출석률 결석 0일 = 10점 KISA 추천 동아리 활동 1년 이상 = 4점 자격증 여부 없음(기본) = 10점 최종 16+10+4+10 = 40점 서류에서 받을 수 있는 점수는 최대 70점으로 전공학과 수료기간이 길거나 대회 수상 경력이 있거나 관련 자격증을 가지고 있다면, 높은 배점을 받을 수 있다 ( KISA추천 동아리 - Security Factorial 가산점만으로도 붙을 수 있을까! ) * 2021년 이후로 서류심사 부분 '경력' 이 수정됨에..
본격적으로 머신러닝을 통해 욕설필터링 우회를 막는 알고리즘을 개발하고자 한다. 궁극적인 목표는 "시@#발" 필터링이며, "아니 미안" -> "아* *안"으로 필터링 되지 않도록 하는 것이다. 목표를 향한 그 첫번째로 어떻게 python을 이용해 기계를 학습시키는 것인지 부딪혀보려고 한다. 여러 환경을 찾아보다가 머신러닝을 학습하기 용이하다는 google colab을 사용하기로 하였고, 예제들을 작성해보고 차근차근 배워갈 생각이다. https://colab.research.google.com/notebooks/intro.ipynb Google Colaboratory colab.research.google.com Colab을 사용하면 코드 몇 줄만으로 이미지 데이터세트를 가져오고, 이 데이터세트로 이미지 분..
