프로그래밍
-
정보수집 단계모의해킹 2020. 1. 15. 11:53
모의 해킹의 정보 수집 단계 모의 해킹 과정의 각 단계에서 사전협의 단계 다음으로 진행되는 정보 수집 단계에 대해서 알아 보겠다. + 보고서에서 환경분석 단계에 해당 ( 정보 수집 단계 == 환경분석 단계 ) 정보 수집 단계 과정은 DNS 정보 수집, 호스트 정보 수집, 네트워크 정보 수집, OS 정보 수집등 클라이언트의 취약점을 파악하기 위해 각종 정보를 수집하는 단계를 의미한다. 모의 해킹을 할 때 가장 중요한 단계 중 하나로 공격을 실행하기 위해서 공격 대상에 대한 기본적인 지식을 수집해야 하며 이에 따라 더 많은 정보를 수집할수록 공격 가능성이 높아진다고 볼 수 있다. 보통 실무에서 정보 수집 단계를 수행할 때 있어서 오픈되어 있는 서비스나 대상이 정해진 경우 ( 도메인 ) 일 때 주어진 도메인 ..
-
Docker 용어Docker 2020. 1. 9. 04:44
위에 그림을 보면 도커에서 사용되는 용어들을 볼 수 있다 1. 도커 이미지 and 컨테이너 도커 이미지는 한개의 서버 즉 컨테이너에 여러개의 기능을 넣어 줄 수 있다 예를 들어 컨테이너 1에는 WAS/DB( SQL ) , 컨테이너 2에는 WAS/DB ( 오라클 ) 이때 각각 정의 되어 있는 WAS/DB 이것들의 정의를 이미지라고 칭한다 실제로 구동 되는 것은 이미지로 만든 컨테이너 2. 도커 엔진 도커의 모든 동작을 담당 3. 도커 클라이언트 도커를 사용할 때 host PC의 OS 가 윈도우 일 때 사용자가 Linux를 사용 또는 오라클을 사용하고 싶을 때 도커에 필요한 OS들을 ( 컨테이너 ) 올리면서 사용 or my SQL, 오라클등 을 올리면서 사용 이때 HOST PC는 클라이언트의 입장이다 왜 ?..
-
Docker의 개념Docker 2020. 1. 9. 03:53
Background 소프트 엔지니어 ( 응용프로그램 개발자 ) 시스템 엔지니어 ( 인프라 구축 하드웨어, os, Network 등 물리적으로 선을 깔거나 하는 작업도 함 ) On-premises ( 보안과 같은 문제로 내부에서 직접 네트워크 망을 구축해서 내부적으로 서버를 관리, 외부와는 단절 ) ( 인트라넷 ) 이때 내부망말고 외부에서 접속을 해야할 경우에 firewall ( 방화벽 )이라는 것을 설치한 뒤 특정 포트만 open 보통 80 port ( http )만 열어 둠 클라우드 플랫폼 ( 내부적으로 서버를 관리하는 것이 아닌 클라우드 서비스로 서버를 운영 AWS ) Orchestration 예를 들어 한대의 PC에 DB 서버, WAS 서버 를 같은 영역에서 사용한다면 하나의 자원으로만 해당 서버를..
-
모의해킹 절차모의해킹 2020. 1. 7. 23:11
모의해킹의 절차 모의해킹에서 절차는 중요하다 모의해킹을 할때 대상 ( 도메인 or IP ) 등을 받아서 절차를 무시하고 무작정 해당 페이지로 가서 본인이 알고있는 웹 or 모바일 해킹의 기술적인 부분을 먼저 살펴보게 된다면 항상 문제가 발생한다. 나중에 프로젝트가 끝나고 난 뒤 보면 무시한 절차의 부분에서 문제가 발생하고 보고서의 퀄리티등의 문제에서 불만이 발생한다. 즉 절차를 무시해서 중간에 건너 뛴 부분이 항상 문제가 되어 발생한다. 그렇기 때문에 모의해킹의 절차에 대해서 확실히 이해하고 절차에 따른 수행 즉 절차에 따라서 본인이 알고있는 기술적인 부분을 수행하여야 한다. pentest standard 라는 곳에서 아래와 같이 모의해킹의 표준 절차에 대한 가이드를 제공하고 있다 각 단계는 사전협의단계..
-
최근 해킹 사고에 따른 모의해킹 접근 방식모의해킹 2020. 1. 7. 06:18
최근 해킹 사고 이해 1. 암호화폐 거래소의 지속적인 해킹 사고 야피존, 빗썸, 마운트곡스 등의 가상통화 거래소의 해킹 피해 사고 2. SQL 인젝션 여기어때 개인정보 99만건 유출 사고 ( 홈페이지 보안취약 ) 3. 랜섬웨어의 변종 ( 마이랜섬 ) 웹사이트 방문만으로 감염되는 방식인 드라이브 바이 다운로드 방식을 통해 변종 랜섬웨어 감염 드라이브 바이 다운로드 ? 브라우저 취약점, 자바 취약점, 플레쉬 취약점을을 통해 악성코드를 자동 다운로드하는 형식 4. 어플리케이션 코드변조 안드로이드에서 성경통독 어플의 코드 변조 문제 * 모의해킹 공부시 Tip 모의해킹을 공부할 때 악성코드 분석을 하면서 모의해킹을 배우면 여러가지 도움이 됨 대체로 최신 취약점이나 최신 보안 이슈들이 반영 되는 부분은 악성코드부터..
-
모의해킹 개념모의해킹 2020. 1. 7. 05:38
모의 해킹이란 ? Penetraion 침투, 침입, 침해 + Test Pentest 구글에서 위와 같은 키워드로 검색 시 자료를 보다 손쉽게 찾을 수 있음 해커 (크래커)와 동일한 환경과 조건, Hacking Skill을 가지고 모의침투 테스트를 실시 실제로 시스템의 취약성을 통해 시스템이 어떤 방식으로 침해될 수 있는지 여부를 점검해 보는 단계 모의 해킹의 대상은 ? 그렇다면 위와 같이 시스템의 취약성을 찾고 침해될 수 있는 여부를 검사하는 대상은 누가 될까 ? PC, 모바일 등등 많은 대상들이 있을 것 이다. 하지만 이제 시간이 지남에 따라 IP TV, 기가지니, 스마트냉장고 와 같은 loT ( Internet of Things ) 기기들에 대한 비중들이 높아질 것이다. 또한 그에 따라 해킹의 대상은..
-
Ajax 웹 크롤러 ( 롯데시네마 )Web Crawler 2019. 12. 11. 06:32
이번에 만들어볼 크롤러는 롯데시네마의 상영 정보를 가져오는 프로그램을 만들어 볼 것이다. 해당 페이지는 사용자가 요청을 할 때 마다 하나의 새로운 페이지를 새롭게 여는 방식이 아니라 사용자가 원하는 페이지의 일부 데이터만 새롭게 불러오는 방식이다. 페이지는 그대로 위와 같은 방식은 Ajax : JavaScript를 사용한 비동기 통신, 클라이언트와 서버간에 XML 데이터를 주고받는 기술 Asynchronous JavaScript and XML 비동기적으로 JavaScript와 XML을 이용하는 방식이라고 할 수 있다. EX ) 사용자는 현재 A페이지에 머물고 있으며 A페이지에서 오늘의 상영 영화의 정보들이 필요함 이때 사용자는 필요한 정보를 서버측에 요청 서버는 사용자에게 해당 정보가 있는 B페이지의 U..
-
CGV 영화 상영정보 제공기능 완성web/Django 2019. 12. 10. 16:27
그동안 상영정보를 장고로 보여주는 기능을 구현하기 위해서 삽질하면서 알게 된 몇 가지 정보들과 그렇게 해서 구현한 기능들이 어떠한 원리로 동작하는지 정리해야 겠다 1. URL 매핑 장고의 URL 매핑시 가장먼저 확인하는 URL 매핑 파일의 디폴트 위치는 빨간 박스의 해당 프로잭트의 settings.py 파일이 있는 곳이다. 그렇기 때문에 include 함수를 사용하여 URL의 기본 형태인 " " 과 같이 빈 요청이 오면 파란 박스의 cgv_cr 이라는 app의 urls.py 파일로 찾아가라고 설정해 두었다. 위의 사진은 cgv_cr app에 위치한 urls.py 의 모습이다. 가장 먼저 장고의 urls 패키지를 불러와 path 라는 함수를 import 해주었다 그 뒤 views.py 을 import 해주..