yyyyss

직렬화와 역직렬화자바 프로그램상에서 어떤 객체가 생성되면 그 객체는 메모리에 머무르게 되고, 프로그램이 실행되는 동안 필요에 따라서 사용된다. 그런데 프로그램이 종료되면 메모리에 있는 객체들은 사라진다. 객체에서는 프로그램이 사용하면서 저장한 데이터가 있는데 그 데이터를 다른 프로그램이 실행할 때도 사용해야 한다면 그 객체와 데이터를 파일이나 데이터베이스에 저장을 해야 할 것이다. 여기서 객체를 저장하기 위해서 객체를 바이트 스트림이라는 형태로 변화시키는데 이것을 직렬화라고 한다. 반대로 역직렬화는 저장된 바이트 스트림을 다시 원래의 데이터로 불러오는 과정이다.  추가적으로 직렬화와 역직렬화는 데이터를 네트워크를 통해 전송할때에도 사용을 한다. 즉, 역직렬화가 수행되는 곳이 있다면 공격자는 직렬화된 바이..

Heartbleed 취약점 공격 실습하트블리드 취약점은 HTTPS프로토콜의 근간이 되는 SSL/TLS 프로토콜을 구현한 OpenSSL 라이브러리 중 1.0.1 - 1.0.1f 버전에 존재하는 취약점이다.HTTPS로 구현된 웹사이트들은 안전하다고 알려져 있지만 하트블리드 취약점이 있으면 민감한 정보가 노출될 수 있다. -실습 목표-하트블리드 취약점 공격으로 사용자 계정 정보가 노출되도록 해보자.실습 페이지에 들어와보니 어떤 내용이 쓰여있다. Nginx웹서버가 취약한 OenSSL버전을 사용하고 있다.(bee-box only)힌트는 8443 포트에 접속하고 공격스크립트를 실행시키자. 원래 HTTPS 프로토콜로 접속하게 되면 모든 통신의 내용이 암호화되어서 통신 내용이 노출되지 않는데, 여기선 하트블리드 취약점..

취약한 접근 통제 리스크는 아래와 같이 분류할 수 있다.URL이나 파라미터를 조작해서 다른 사용자의 리소스에 접속하거나 기능을 수행시키는 경우인증 및 인가 과정을 거치지 않고 관리자 페이지에 접속하는 경우Directory Traversal 취약점과 같은 디렉토리 경로를 벗어난 호스트 내부에 접근하는 경우IDOR Attack(Insecure Direct Object Reference)안전하지 않은 직접 객체 참조 공격으로 공격자가 요청 메시지의 URL이나 파라미터를 변경해서 임의로 기능을 실행시키거나 리소스에 접근하는 공격 기법이다.-실습 목표-Burpsuite의 intercept기능을 사용해서 POST요청의 바디 부분에 전달되는 파라미터 값을 조작해서 물건의 가격을 변경시키자.실습 페이지에 들어오면 이렇..

민감한 데이터 종류개인정보(주민등록번호, 카드정보, 사생활 정보 등)패스워드, 세션 ID와 같은 로그인에 사용되는 정보업무상 기밀많은 공격자들이 이러한 데이터를 탈취하려는 목적을 가지고 있는데, 이번 실습에서는 데이터가 적절하게 암호화되지 않았거나 평문으로 저장되어서 노출되는 경우에 대해서 알아볼 것이다. HTTP 프로토콜에 의한 노출 실습HTTP 프로토콜로 전송되는 요청과 응답 메시지들은 Network Sniffing이라는 기법에 의해서 도청당할 수 있다. Network Sniffing은 네트워크에 전송되는 데이터들을 모니터링하는 기법이다. Network Sniffing program은 tcpdump와 wireshark가 있다. 이번 실습에서는 tcpdump를 활용할 것이다.-실습 목표-tcpdump ..