Knowledge
-
알고리즘 - 이진탐색 코드를 짜보자(2)Knowledge/Algorithm 2019. 6. 22. 06:56
https://shineild-security.tistory.com/26 알고리즘 - 이진탐색 코드를 짜보자(1) 오늘은 저번 이진탐색 개념정리에 이어서 직접 코드를 구현하는 시간을 가져보려고 한다. https://shineild-security.tistory.com/22 알고리즘 - 이진탐색 알고리즘 개념 안녕하세요. 오늘은 이진탐색 알고리즘.. shineild-security.tistory.com 전글에 이어서 오늘은 다른 사용자들의 코드를 참고해서 내 코드도 수정해보는 시간을 가지려고 합니다. 기존 작성 코드를 우선 살펴보자. #include int main(int argc, const char * argv[]) { int num; printf("데이터 개수 입력 : "); scanf("%d", &..
-
알고리즘 - 이진탐색 코드를 짜보자(1)Knowledge/Algorithm 2019. 6. 21. 07:19
오늘은 저번 이진탐색 개념정리에 이어서 직접 코드를 구현하는 시간을 가져보려고 한다. https://shineild-security.tistory.com/22 알고리즘 - 이진탐색 알고리즘 개념 안녕하세요. 오늘은 이진탐색 알고리즘 개념에 대해서 정리하려 합니다. 이진탐색이란 이진법, 이분법에서 파생된 말로 아메바를 예로 들 수가 있겠네요. 아메바는 번식을 할 때 자신의 몸을 반으로 나눠서 개체.. shineild-security.tistory.com 이진탐색을 진행함에 앞서서 필요한 전제조건이 뭔지 생각해보자. 우선은 데이터 정렬이 진행되어야 할 것이다. 여러 정렬들이 있지만 나는 하나밖에 정렬코드를 안만들어 놨음으로 버블소트 정렬을 사용할 것이다. 기존 버블소트 코드를 일단 가져왔다. #include..
-
2017 OWASP A10 : 불충분한 로깅 및 모니터링Knowledge/Web 2019. 6. 20. 09:11
오늘도 굉장히 한눈에 알아볼수 없을 애매한 단어로 되어있는 녀석에 대해서 탐구하도록 하자. A10항목은 새롭게 생겼으며 업계의 설문조사를 통해서 상위 10에 올라왔습니다. 한줄요약으로 오늘은 정리가 가능하다. 불충분한 로깅 및 모니터링 : 사용자들의 로그를 남기고 모니터링을 함에 있어서 부실할 때 발생하는 취약점들 사실 이 말을 이해하신다면 OWASP에서 어떻게 적어놨는지 쉽게 이해하실 수 있으실 겁니다. "" 불충분한 로깅과 모니터링은 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자들이 시스템을 더 공격하고, 지속성을 유지하며, 더 많은 시스템을 중심으로 공격할 수 있도록 만들고, 데이터를 변조, 추출 또는 파괴할 수 있습니다. 대부분의 침해 사례에서 침해를 탐지하는 시간이 200일이 넘게 걸리는..
-
TCP Port Scan - 스텔스 스캔Knowledge/Network 2019. 6. 19. 03:38
스텔스(Stealth) 스캔이란 스텔스라는 이름에 걸맞게 알아치리지 못하게 스캔하는 기법을 말합니다. 세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알아내는 방법입니다. 그래서 공격받은 서버는 공격자의 IP를 확인하기가 어려워진다. 스텔스의 대표적인 Half Open Scan에 대해서 알아보도록하자. opened port 공격자 ->(SYN)-> 공격 대상 공격자 공격 대상 그래서 기록을 남기지 않게된다. closed port 공격자 ->(SYN)-> 공격 대상 공격자
-
TCP scan - TCP Open Scan (TCP Open 스캔)Knowledge/Network 2019. 6. 18. 14:29
공격 대상 서버의 정보를 수집하는 것은 매우 중요한 침입 준비 단계이다. 당장에 침입이 불가할지라도 작은 정보들을 캐내고 캐내다보면 쌓여서 큰 정보를 이루고 침입을 위한 힌트가 제공될 수 있기때문이다. 그렇기에 이런 준비단계중 하나인 scan은 중요한 영역이며 정보보안기사 시험에서도 개념언급이 이루어 지고 있는 상황이다. 그래서 오늘은 TCP scan의 한 종류인 TCP Open scan에 대해서 포스팅 하려한다. TCP scan은 결국에 port를 스캔하는 것으로 열려있는 포트가 어떤게 있는지 알기 위해서 사용된다. TCP Open 스캔의 과정은 간단하다. 공격자는 포트 세션을 생성하기 위해서 SYN 패킷을 보낸다. 공격자 ->(SYN)-> 공격 대상 이 경우에 만약 공격 대상의 포트가 열려있다면 SY..
-
알고리즘 - 이진탐색 알고리즘 개념Knowledge/Algorithm 2019. 6. 17. 00:50
안녕하세요. 오늘은 이진탐색 알고리즘 개념에 대해서 정리하려 합니다. 이진탐색이란 이진법, 이분법에서 파생된 말로 아메바를 예로 들 수가 있겠네요. 아메바는 번식을 할 때 자신의 몸을 반으로 나눠서 개체 수를 증가시킵니다. 그래서 사람들은 우수겟소리로 이분법적인 사고로 나눠서 판단하지 말라고도 말합니다. 두개로 분할한다라는 뜻으로 생각하시면 편할 것 같습니다. 그리고 이것을 수학적으로 접근해보면 우리는 친근한 게임을 예시로 들 수 있습니다. 그것은 바로 업다운 게임인데요. 우리는 업다운 게임을 할 때 본능적으로 가장 적은 횟수로 높은 확률을 갖을 수 있는 방법을 고안해 냅니다. 그것은 바로 1~100이란 숫자 중에 50을 기준으로 유추하기 시작하는 거죠. 만약 숫자가 87이라면 50을 묻고 높다고 판명이..
-
2017 OWASP A6 : 잘못된 보안 구성Knowledge/Web 2019. 6. 16. 21:51
안녕하세요. 오늘은 OWASP의 6번으로 선정되어진 잘못된 보안 구성에 대해서 포스팅 하겠습니다. 잘못된 보안 구성 잘못된 보안 구성, 굉장히 두루뭉실하며 네이밍하기에는 너무 추상적인 단어 조합이다. 그렇기에 예를 들어서 구체적인 상황들로써 좀더 명확한 개념을 알아보도록 하자. 잘못된 보안 구성이란 뭘까, 한마디로 인간적인 실수를 예로 들을 수가 있다. 취약한 버전으로 알려진 버전의 어플리케이션을 사용한다던가 무심코 열어둔 텔넷, 접근 거부 설정을 하지 않아서 나타나는 디렉토리 인덱싱, 우리한테 친절하게 어디가 틀려줬는지 알려주려고 만들어논 에러구문을 역이용한 정보수집등 우리가 초기에 설정할 때 보안상 설정해주어야 하지만 하지 않은 것들을 바로 잘못된 보안 구성이라고 말한다. 그럼 대충 감이 오기 시작하..
-
2017 OWASP A4 : XML 외부개체 / XXE (XML External Entity) 취약점Knowledge/Web 2019. 6. 16. 00:15
XXE 취약점에 대해 알기 위해서는 사전적으로 XML이란 무엇인지에 대해서 알고 있어야한다. XML이란 html의 한계를 극복하기 위해 만들어진 마크업 언어로 인터넷에 연결된 시스템끼리 데이터를 쉽게 주고 받을 수 있게 하기 위해서 만들어진 언어이다. html과 다른점은 서로간의 데이터 전송을 위해서 사용된다는 것과 사용자의 눈에 보이지 않는 비가시적인 특성을 갖고 있다. 이러한 XML에서 오래되고 설정이 부실한 프로세서들은 XML 문서 내에서 외부 개체 참조를 평가하게 된다. 외부 개체는 파일 URI 처리기나 내부 파일 공유, 내부 포트 스캔, 원격 코드 실행과 서비스 거부 공격을 사용하여 내부 파일을 확인하는데 사용 할 수가 있습니다. OWASP의 위험도 산정 기준을 보면 공격 가능성 : 2 확산정도..