비오비33 [7/20 박세준 멘토님] [WEB]Client-side attack XSS(Cross Site Scripting): 발현방식에 따라 Stored XSS, Reflected XSS 1. 태그를 통째로 탈출하는 방법2. 속성을 변경하는 방법(ex, oncfocus)3. accesskey 속성을 사용하는 방법 CSRF(Cross Site Request Forgery): 공격자가 보낸 링크나 페이지에 삽입한 코드를 통해, 마치 피해자가 해당 요청을 보낸 것처럼 웹 사이트에 전송 CORS MisconfigurationJSONP Injection: 공격자가 SOP를 우회하여 피해자의 권한으로 서버에 요청, Rosetta Flash 공격DNS Rebinding Attack: 공격자가 SOP를 우회하여 피해자의 방화벽 안쪽 내부 네트워크 액세.. 2019. 7. 20. 7/19 [이상섭 멘토님] 임베디드 분석과 관련해서..!!-> 컨설팅 수업http://bob.keeplink.kr/ 로직버그 getcap문제는 final에! uevent_helper: 커널에 이벤트발생시켰을 때 무조건 실행된다파일에 적혀있는 경로를 무조건 실행시켜준다. 1) USB를 넣었다 뺴는거강제로 trigger할 수 있다. Echo “change” > /sys/class/mem/null/uevent Echo “change” >/sys/devices/virtual/mem/full/uevent 리버스쉘처럼..but root권한으로 임베디드 장비에서 유용하게 사용가능 sticky bit 권한은: 루트도 권한을 지울 수 없다 tmp 디렉토리에서는 루트여도 심볼릭링크가 걸린 소유주가 다른 파일에는 쓰지 못하도록 막겠다: protect.. 2019. 7. 19. 7/18 [이기택 멘토님] 전체적인 서비스 아키텍처에 대해서 다 진행을 한다 dignslookup 2019. 7. 18. 7/18 [신정훈 멘토님] tmux 설치 apt install tmux context.terminal=['tmux','splitw','-h'] clang -o x x.c -fsanitize=addressfree된 메모리에 접근하려고 하면 잡아낸다(UAF) shallow copy가 일어나서 a->age, b->age가 같은 곳을 가리킨다.a를 delete하는 경우, free가 일어나기때문에 b->age를 출력하면 에러가 난다! while [1]; do ln -sf ./good.sh ./test.sh; donewhile [1]; do ln -sf ./evil.sh ./test.sh; donewhile [1]; do ./race test.sh 2>/dev/null | grep bob; done 과제1) 프로그램 주시는데, 그걸 expl.. 2019. 7. 18. 7/18 [박세준멘토님] 자동차보안 '자동차 보안' V2V-connected: 자동차끼리 연결이 된다. Attack Surface: 1) Infotainment System: Information+Entertainment: 네비게이션(폰과 연동), 폰과 연동해서 전화, 인터넷 연결, 음악....2) Telematics Unit: 인터넷을 하기 위해서는 와이파이가 아닌 3G, LTE같은 통신 네트워크를 통해서 인터넷에 접속3) OBD || Port: 자동차 검진을 위해 사용하는 디버깅 포트: 이 디버깅 포트에 연결하여 CAN BUS에 접속, 이를 통해 공격 가능4) ECUs : 컴퓨터, 에어컨을 컨트롤 하는 초소형 컴퓨터, 문닫고열고 컨트롤 하는 초소형 컴퓨터...등등 모두 연결되어 있다.Engine/Transmission/Powertrai.. 2019. 7. 18. 공통교육 7/8 1. [신동혁]ISMS-P 인증컨설팅 -> 생략가능2. [한철규] 보안산업의 이해위협 위험: 위협이 자산에 영향을 끼칠 확률보안=안전을 유지함, 위협으로부터 자산을 보호하는 것의식: 사회적, 역사적으로 형성되는 사물이나 일에 대한 개인적, 집단적 감정이나 견해나 사상 3. [이상섭] 소프트웨어 버그란 무엇인가, 임베디드 펌웨어 분석의 시작Attack Surface(Protocol, user input, Interface), Attack Vector 4. [김영옥] 보안컨설팅 일반5. [김홍진] 보안프로젝트 수행방법론한시성: 모든 프로젝트는 명확하게 정의된 시작과 끝이 있음 고유성: 모든 프로젝트는 모두 다른 고유한 목적이 있음 프로젝트의 3대 관리요소: 일정관리, 예산관리, 범위관리프로젝트의 5대 관리요.. 2019. 7. 15. 7/14 외부에 노출할 주요함수만 남긴다.간단한 구동 코드 설명 이더넷 14바이트 (Destination MAC->Source MAC -> MAC Type) SDLC Process 2019. 7. 14. 비오비 7/7 1. [김종현] 디지털 포렌식 들어는 봤지?증거파일 논리이미지 물리이미지 PC:논리이미지(필요한 파일들만 뽑아내서 변조되지 않게 묶어서 처리)를 증거로 사용하는 것이 증가하고 있다모바일: 다 물리이미지로 처리하고 있다보관증거: 사람이 직접 작성한 증거(채택X)생성증거: 디지털 기기 동작 중 자동으로 생성된 증거 디지털 증거의 특징: 매체 독립성, 대량성, 복제성, 취약성, 비가시성디지털 증거의 요건: 원본성, 진정성, 무결성, 신뢰성디지털포렌식 조사단계: 준비-> 증거물획득-> 이송및보관-> 분석및조사 ->보고서작성 2. [김종민] 디지털 포렌식과 해킹 3. [유현] 사이버 수사의 이해정보통신망 침해범죄: 시스템이나 네트워크를 공격해서 장애를 일으켜 시스템이나 데이터 훼손, 변경, 멸실했을 경우해킹: 정.. 2019. 7. 14. 공통교육 *Plan Do Check Act PMBOK(Project Management Body of Knowledge)=> 의사소통 프로젝트 이해관계자: 팀원, 관리자(PM), 고객, 스폰서, 수행조직, 지원조직 데이터->정보->지식->지혜 *Para-Lingual: 전달자의 음색, 높낮이에 따라 의미 전달한다.*Active Listening: 수신자가 들은 내용을 전달자에게 확인한다*Feedback: 전달자가 마지막에 수신자에게 이해여부를 확인한다 의사소통 채널은?(nC2)채널계산할때 PM추가(1명 더 추가) 프로젝트 성과 정보Scope->Q(quality)C(cost)D(delivery) --------------------------------------------------취약점, 위협, 위험 과증금, .. 2019. 7. 13. 이전 1 2 3 4 다음
