본문 바로가기
728x90

빚진 자처럼, 한결같이1569

natas3 에서 힌트를 얻어 robots.txt 를 통해 노출되는 정보가 있는지 체크한다. Robots.txt에 나온 경로를 참고하여 존재하는 페이지에 직접 접속한다. Natas4 / Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ Robots.txt파일은 1994년 6월에 만들어진 로봇 배제 표준으로 로봇의 웹사이트 검색을 제한/허용하는데 목적이 있다. 로솝은 웹사이트를 검색하기 전에 robots.txt파일이 있는지 여부를 확인 후 그 설정에 따라 동작하지만 강제성을 띄지 않기 때문에 일부 스팸 발송자나 악의적인 사용자는 이를 무시하고 웹사이트를 검색할 수 있다. Robots.txt 파일은 다음 두가지 규칙을 사용한다. User-agent : 아래에 나오는 규칙이 적용되는 로봇 Disallow : 차단.. 2014. 11. 24.
무선랜 설정하기 cmd 창을 열어서 netsh wlan을 입력 후 set hostednetwork를 치면 아래와 같이 Examples로 친절하게 명령어가 나온다. Set hostednetwork mode=allow Set hostednetwork ssid= Set hostednetwork key= keyUsage=persistent 아주 간단히 설정 후 Start hostednetwork를 해주면 끝~! 2014. 11. 21.
TLS를 SSL로 다운그레이드 ■ "POODLE"을 이용하는 공격 방법 취약점의 요점은 다음과 같이됩니다. CVE 식별자 : CVE-2014-3566 통칭 명 : POODLE (Padding Oracle On Downgraded Legacy Encryption) 취약점 내용 : 공격자는 SSL 3.0을 사용 암호화 통신에 요청 전송을 반복 시도 암호화 통신의 일부를 해독 할 우려가 발생. 또한 공격자는 TLS / SSL 버전을 다운 그레이드시킬 수있다. 예상되는 피해 : Web 사이트 이용시 인증 정보 (쿠키, 토큰 등)를 절취하는 해결 방법 : 서버, 클라이언트 모두, SSL3.0을 해제하려면 위의 연구 논문에 따르면, 이번 심각한 문제는 SSL 3.0의 블록 암호의 패딩 검증에 있습니다. 이 패딩은 프로토콜에 따라 검증되지 않습니.. 2014. 11. 21.
SSL certificate pinning SSL 피닝은 서버에서 신뢰받는 검증 데이터에 인증하는 것을 의미하는데, 클라이언트를 검사하는 것을 포함한다. SSL 피닝 은 중간자(MITM)공격이나 다른 해킹으로부터 사용자를 보호하는 '공개키 게시(pinning)' 기능이다. MITM공격은 해커가 사용자 기기와 웹서버 사이에 오가는 민감한 데이터를 가로채거나 조작하는 수법을 가리킨다. 보통 민감한 사용자 데이터는 통신 과정에 시큐어소켓레이어(SSL) 또는 전송계층보안(TLS)같은 프로토콜로 암호화되지만, 해커가 서버의 보안취약점을 파고들면 SSL/TLS용 인증서를 위조해 서버 행세를 할 수도 있다. 이 경우 사용자는 여전히 데이터를 가로채이거나 조작당할 수 있게 된다. SSL을 적용한 암호화의 경우 SSL Strip으로 이를 무력화시킬 수 있는 기법.. 2014. 11. 20.
암호 : TLS TLS : Transport Layer Security TLS v1.0은 SSL 3.0이 표준화된 이름이다. 우리가 많이 보는 HTTPS에서 마지막의 S는 Over Secure Socket Layer이다. 웹이 인터넷 위에서 돌아가는 서비스 중의 하나인 것처럼 HTTPS도 SSL 프로토콜 위에서 돌아가는 프로토콜이다. TLS는 클라이언트/서버 응용 프로그램이 네트워크로 통신을 하는 과정에서 도청, 간섭, 위조를 방지하기 위해서 설계되었다. 그리고 암호화를 해서 최종단의 인증, 통신 기밀성을 유지시켜준다. TLS의 3단계 기본 절차: 지원 가능한 알고리즘 서로 교환 키 교환, 인증 대칭키 암호로 암호화하고 메시지 인증 우선 첫 단계에서 서버와 클라이언트는 암호 스위트를 교환한다. 이 단계에서 키 교환와 인.. 2014. 11. 20.
728x90