전체 글
-
모의해킹 절차모의해킹 2020. 1. 7. 23:11
모의해킹의 절차 모의해킹에서 절차는 중요하다 모의해킹을 할때 대상 ( 도메인 or IP ) 등을 받아서 절차를 무시하고 무작정 해당 페이지로 가서 본인이 알고있는 웹 or 모바일 해킹의 기술적인 부분을 먼저 살펴보게 된다면 항상 문제가 발생한다. 나중에 프로젝트가 끝나고 난 뒤 보면 무시한 절차의 부분에서 문제가 발생하고 보고서의 퀄리티등의 문제에서 불만이 발생한다. 즉 절차를 무시해서 중간에 건너 뛴 부분이 항상 문제가 되어 발생한다. 그렇기 때문에 모의해킹의 절차에 대해서 확실히 이해하고 절차에 따른 수행 즉 절차에 따라서 본인이 알고있는 기술적인 부분을 수행하여야 한다. pentest standard 라는 곳에서 아래와 같이 모의해킹의 표준 절차에 대한 가이드를 제공하고 있다 각 단계는 사전협의단계..
-
최근 해킹 사고에 따른 모의해킹 접근 방식모의해킹 2020. 1. 7. 06:18
최근 해킹 사고 이해 1. 암호화폐 거래소의 지속적인 해킹 사고 야피존, 빗썸, 마운트곡스 등의 가상통화 거래소의 해킹 피해 사고 2. SQL 인젝션 여기어때 개인정보 99만건 유출 사고 ( 홈페이지 보안취약 ) 3. 랜섬웨어의 변종 ( 마이랜섬 ) 웹사이트 방문만으로 감염되는 방식인 드라이브 바이 다운로드 방식을 통해 변종 랜섬웨어 감염 드라이브 바이 다운로드 ? 브라우저 취약점, 자바 취약점, 플레쉬 취약점을을 통해 악성코드를 자동 다운로드하는 형식 4. 어플리케이션 코드변조 안드로이드에서 성경통독 어플의 코드 변조 문제 * 모의해킹 공부시 Tip 모의해킹을 공부할 때 악성코드 분석을 하면서 모의해킹을 배우면 여러가지 도움이 됨 대체로 최신 취약점이나 최신 보안 이슈들이 반영 되는 부분은 악성코드부터..
-
모의해킹 개념모의해킹 2020. 1. 7. 05:38
모의 해킹이란 ? Penetraion 침투, 침입, 침해 + Test Pentest 구글에서 위와 같은 키워드로 검색 시 자료를 보다 손쉽게 찾을 수 있음 해커 (크래커)와 동일한 환경과 조건, Hacking Skill을 가지고 모의침투 테스트를 실시 실제로 시스템의 취약성을 통해 시스템이 어떤 방식으로 침해될 수 있는지 여부를 점검해 보는 단계 모의 해킹의 대상은 ? 그렇다면 위와 같이 시스템의 취약성을 찾고 침해될 수 있는 여부를 검사하는 대상은 누가 될까 ? PC, 모바일 등등 많은 대상들이 있을 것 이다. 하지만 이제 시간이 지남에 따라 IP TV, 기가지니, 스마트냉장고 와 같은 loT ( Internet of Things ) 기기들에 대한 비중들이 높아질 것이다. 또한 그에 따라 해킹의 대상은..
-
Ajax 웹 크롤러 ( 롯데시네마 )Web Crawler 2019. 12. 11. 06:32
이번에 만들어볼 크롤러는 롯데시네마의 상영 정보를 가져오는 프로그램을 만들어 볼 것이다. 해당 페이지는 사용자가 요청을 할 때 마다 하나의 새로운 페이지를 새롭게 여는 방식이 아니라 사용자가 원하는 페이지의 일부 데이터만 새롭게 불러오는 방식이다. 페이지는 그대로 위와 같은 방식은 Ajax : JavaScript를 사용한 비동기 통신, 클라이언트와 서버간에 XML 데이터를 주고받는 기술 Asynchronous JavaScript and XML 비동기적으로 JavaScript와 XML을 이용하는 방식이라고 할 수 있다. EX ) 사용자는 현재 A페이지에 머물고 있으며 A페이지에서 오늘의 상영 영화의 정보들이 필요함 이때 사용자는 필요한 정보를 서버측에 요청 서버는 사용자에게 해당 정보가 있는 B페이지의 U..
-
CGV 영화 상영정보 제공기능 완성web/Django 2019. 12. 10. 16:27
그동안 상영정보를 장고로 보여주는 기능을 구현하기 위해서 삽질하면서 알게 된 몇 가지 정보들과 그렇게 해서 구현한 기능들이 어떠한 원리로 동작하는지 정리해야 겠다 1. URL 매핑 장고의 URL 매핑시 가장먼저 확인하는 URL 매핑 파일의 디폴트 위치는 빨간 박스의 해당 프로잭트의 settings.py 파일이 있는 곳이다. 그렇기 때문에 include 함수를 사용하여 URL의 기본 형태인 " " 과 같이 빈 요청이 오면 파란 박스의 cgv_cr 이라는 app의 urls.py 파일로 찾아가라고 설정해 두었다. 위의 사진은 cgv_cr app에 위치한 urls.py 의 모습이다. 가장 먼저 장고의 urls 패키지를 불러와 path 라는 함수를 import 해주었다 그 뒤 views.py 을 import 해주..
-
장고 View ( step.2 )web/Django 2019. 12. 5. 04:53
전에 URL을 매핑 시켜 가지고 Views.py에 있는 어떠한 함수를 실행시킬지 정해 주었다. 지금 부터는 Views.py에 기능들을 정의 해서 어떠한 작업을 할지 알아보려고 한다. 위의 갈색 박스처럼 해당 프로젝트의 app 디렉터리 안에 views.py 파일로 위치하고 있으며 기능을 정의할 때에는 기존에 파이썬의 함수 생성과 같이 # def 함수명 ( request ) : 구조로 만들며 해당 함수의 기능은 DB에 어떻게 접근해서 어떠한 정보를 받아올지 ? 등의 기능을 정의하면 됨 즉 사용자가 원하는 작업을 하는 기능을 작성 기능을 정의하였다면 Response 객체로 반환 해 줄 수 있음 쉽게 정리하면 veiws.py는 사용자가 원하는 작업 ( 모델, 기타 등등 )을 수행 후 Template에 가서 적당..
-
장고 URLConf ( step.1 )web/Django 2019. 12. 5. 04:26
앞에서 설명한 기능들을 이제부터 차근차근 구현해 볼것이다. URLConf 즉 어떠한 url 요청이 들어오면 어떤 views.py의 함수를 실행시킬지 정의하는 단계이다. 아래 그림을 보자 빨간 박스는 URLConf 의 기능을 정의 해주는 ulrs.py가 있는 위치이다. 해당 프로젝트의 디렉터리에 urls.py 파일이 위치하고 있음 현재 진행 중인 프로젝트의 디렉터리이다. 위의 사진과 같이 확인이 가능하며 urls.py 파일에서 컨프를 해주기 위해서는 path 함수를 사용하며 사용시 필요한 인자값은 다음과 같다 # path( '클라이언트로 받는 요청 URL', views.py에 정의 되어있는 함수 ) URL을 매칭시킬 때에는 방법이 두가지가 있다 1. 해당 프로젝트 urls.py 파일에서 모두 매칭 시키기 ..
-
CGV 좌석 정보 제공 WEB 서비스 만들기web/Django 2019. 12. 5. 04:06
지금까지 한 작업들은 CGV에서 제공하는 좌석의 정보들을 PYTHON을 통해서 받아오고 가공해서 장고라는 웹 프레임워크에서 제공해주는 DB에 저장하는 것 까지 하였다 즉 좌석정보를 제공해주기 위해서 필요한 좌석정보들을 가지고 온 것이다. 이제부터는 본격적으로 장고를 사용해서 CGV 좌석 정보의 데이터를 웹 서비스로 제공해주려고 한다. 그러기 위해서는 가장 먼저 장고가 동작하는 기본적인 원리에 대해서 알아야 한다. 다음 그림을 보자 그림의 출처는 아래에 기제 장고가 동작하는 과정을 그림으로 나타낸 것이다. 1. 서버는 클라이언트로 부터 URL요청을 받는다. 2. 서버는 클라이언트로 부터 (동적) URL요청을 받으면 장고로 만들어진 서버 어플리케이션에게 해당 URL 요청을 넘겨줌 3. 장고로 만들어진 어플리..