| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
- Mac
- Chrome 작업관리자
- davtest
- airdecap-ng
- recon-ng
- 넷크래프트
- 화이트해커
- Kublet
- Mimikatz
- 보안
- AttackGraph
- NMAP
- OIDC
- ip forwarding
- 무선채널
- decap
- cgroups
- 계정 탈취
- 패시브스캐닝
- 공격그래프
- dnsenum
- OpenID Connect
- SecurityMetric
- 강의
- 액티브스캐닝
- 대학원
- 프로젝트
- Shift + ESC
- Social Network in Game
- Container
- Today
- Total
목록궁금/정보보안 (6)
네른
OAuth OAuth는 접근 위임을 위한 개방형 표준을 의미한다. - 즉, 내 정보에 대한 타인의 접근을 허용(인가)하기 위한 공개된 표준이다! - OAuth를 이용하여 Authentication(인증)도 가능하지만, 주된 목적은 Authorization에 있다. 다시 말해, 제 3자가 별도의 인증정보 제공 없이 다른 웹사이트의 데이터에 접근 권한을 얻을 수 있는 것이다. (주로 API를 이용하여 데이터를 받아오거나 하는 용도) - 모바일 게임을 플레이하다보면, 특정 이벤트를 사용자의 페이스북 담벼락에 업로드하고자 한다. 이 때 사용되는 것이 OAuth이며, 해당 앱은 나에게 "당신의 담벼락에 내가 API를 이용해 글을 써도 됩니까?" 라고 묻는다. - 그래서 OAuth는 사용하고자 하는 데이터의 주체(..
[정보보안] 5. Mimikatz - sekurlsa
Mimikatz는 윈도우상에서 각종 계정과 관련된 정보를 탈취하고 이를 해독하기 위한 도구이다. 공격자들이 악성 코드 등에 종종 포함하여 공격에 사용하곤 하는 도구로, 본래 목적은 취약점을 MS측에 알리기 위해 개발되었다고 한다. 이번 포스트에서는, Mimikatz의 다양한 기능보다는 윈도우 내의 관리자 계정을 탈취하는 기능을 실행해보고자 한다. Mimikatz는 GitHub상에 무료로 공개되어있기에 누구나 접근하여 다운로드할 수 있다. (대부분의 AV에서 악성 프로그램으로 여겨지기에 보안기능을 모두 제거해야 다운로드가 가능하다.) (https://github.com/gentilkiwi/mimikatz) 본 실습은 MS측에서 무료로 제공하는 테스트용 Windows 7에서 진행하였다. Mimikatz를 실..
[정보보안] 4. CPU Meltdown
[정보보안] 4. CPU Meltdown 요즘 가장 핫한 취약점 하면 역시 Meltdown이 아닐까.개인적인 생각으로는, 이 취약점에 대한 분석과 대응 또한 중요하지만, Intel의 대처와 전후 행동들에 대해서도 생각해보아야 하지 않을까 싶다. 각설하고, 이번에는 Meltdown에 대해 알아보려한다.*** 주의 : 해당 공격 기법의 원리가 100프로 정확한지 검증하지 못했다. 논문을 좀 더 읽어보아야 할 것 같은데.. 언제가 될 지는 모르겠다.물론, Meltdown이 뭔지 그리고 우리의 컴퓨터에는 어떠한 영향을 미치는지도 중요하지만, 그보다는 해당 Exploit의 작동 원리에 대해서 중점적으로 Araboza. [사진 1] Meltdown Vulnerability의 Logo (출처 : Wikipedia) ..
[정보보안] 3. Encoding vs Encryption vs Hashing vs Obfuscation 친구랑 이런저런 이야기를 나누다가, Encoding과 Encryption에 대한 이야기가 나왔다. 두 용어를 오용하여 혼났는데, 이 참에 다시한번 해당 개념에 대해 정리해보려한다. 1. Encoding- Encoding은 쉽게 생각해서 '치환' 이라고 보면 된다. - URL Encoding, 즉 사용자가 타이핑 한 값을 컴퓨터가 이해할 수 있도록 '치환' 해주는 Encoding.- 그러므로 Encoding은 Security의 측면에서는 전혀 역할이 없다고 볼 수 있다.- 심지어 이러한 Encoding들은 Encoding Table과 같은 방식으로 모든 정보가 공개되어있어, 역연산 또한 쉽다. 2. E..
[정보보안] 2. 2FA ( Two-Factor Authentication ) 시작하기에 앞서, 해당 포스트는 추후 이야기할 OTP 에 앞서 OTP를 알아보다가 찾아 본 바를 바탕으로 작성되었음을 알린다. 2FA는 흔히 우리나라에서는 2단계인증, 이중 인증 이라고 불리우는데,Two-Factor Authentication은 엄연히 말하자면 "이중 인증"이라고 부르는 것이 맞다. 2FA는 Multi-Factor Authentication의 가장 기초적인 것으로, 2번의 인증을 진행하는 방면에서는 2단계인증이라고 불리울 만 하지만,단순히 두 가지 인증 방법을 쓰는 것만을 2FA라고 부르지는 않는다. 이는 두 가지의 "인증 요소"를 사용하기 때문에 이중 인증이라고 불리우는데, 이를 자세하 일기 위해서는 우선 인..
[정보보안] 1. 공인인증서 본래 정보보안개론 이라는 책을 읽고, 그 내용을 찬찬히 정리 해 보려 했는데,내용을 전부 정리하기보다는, 궁금해서 찾아본 혹은 나중에 다시 열어 볼 것 같은 주제들을 찾아 정리해 보려 한다.물론 내가 틀린 부분도 있을테지만, 우선은 찾아본 바를 바탕으로 글을 써내려갈 것이고 틀린 부분이 발견되거나 피드백을 받는다면 즉시 수정할 계획이다. 그래서, 오늘 처음으로 쓰게 될 내용은 우리가 주로 사용하는 '공인인증서' 에 대한 이야기다. 공인인증서가 비대칭 키 방식을 사용하고, PKI 기반이다~ 와 같은 내용들은 이미 잘 정리되어 있는 이야기이다.그런 것 들 보다 나는, 이 공인인증서가 증명되는 방식이 궁금했다.인증서 안에는 어떠한 것들이 포함되어 있고, 그것들로부터 우리는 무결성 ..