Total
4/12 News, 국내 5개 대학 정보보호 학과에 AI 보안기술 전수하는 KISA
https://www.boannews.com/media/view.asp?idx=78623&page=1&kind=2 국내 5개 대학 정보보호 학과에 AI 보안기술 전수하는 KISA 한국인터넷진흥원(KISA, 원장 김석환)은 인공지능(AI)을 활용한 지능형 보안기술 연구 활성화 및 전문 인력 양성 지원을 위해 국내 대학에 4월 15일부터 관련 기술을 전수한다고 밝혔다. www.boannews.com 한국인터넷진흥원(KISA, 원장 김석환)은 인공지능(AI)을 활용한 지능형 보안기술 연구 활성화 및 전문 인력 양성 지원을 위해 국내 대학에 4월 15일부터 관련 기술을 전수한다고 밝혔다. 참여하는 대학은 건양대, 부산외대, 상명대, 서일대, 숭실대 입니다.
4/10 News, 한국 대형 포털 노린 워터링 홀 캠페인 발견! 로그인 주의
https://www.boannews.com/media/view.asp?idx=78550&page=1&kind=3 [카드뉴스] 한국 대형 포털 노린 워터링 홀 캠페인 발견! 로그인 주의 보안업체 트렌드 마이크로는 주요 검색엔진 사이트를 포함하여 국내 웹사이트에서 워터링 홀 캠페인 ‘soula’를 발견했다. www.boannews.com 보안업체 트렌드 마이크로는 주요 검색엔진 사이트를 포함하여 국내 웹사이트에서 워터링 홀 캠페인 ‘soula’를 발견했다. 공격자들은 이 웹사이트에 가짜 로그인 페이지를 삽입해 사용자들의 크리덴셜을 훔쳐내고 있는 중이라고 한다.
파이썬으로 위키백과 음식이름 파싱하기
위키에 나와있는 음식이름을 파싱해서 텍스트 파일로 저장하고자 합니다. 이 많은 단어를 수동으로 가져오려면 힘들겠죠. 파이썬을 써줍시다. 근데 파싱하고보니 북한음식이름이 엄청많이섞여있어서 ;; 별 쓸모는 없었습니다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 import requests from bs4 import BeautifulSoup url = 'https://ko.wiktionary.org/w/index.php?title=분류:한국어_음식' res = requests.get(url) html = res.text bs = BeautifulSoup(html,'html.parser') w..
카카오톡 봇
const scriptName="test.js"; var cmds = []; var msgs = []; var allWord = ""; var reNamu = /^\.나무 [\w\W]+/i var rePapago = /^\.한영|영한|일한{1} [\w\W]+/i //함수// function AddCMD(request,response){ cmds.push({req:request,res:response}) } function AddMSG(request,response){ msgs.push({req:request,res:response}) } //나무위키 검색함수 function namu(str){ var url = 'https://namu.wiki/w/'+ encodeURI(str); var result; ..
4/9 News, PNG 그림 파일 타고 퍼지는 로키봇 멀웨어 주의
https://www.boannews.com/media/view.asp?idx=78503&page=1&kind=1 PNG 그림 파일 타고 퍼지는 로키봇 멀웨어 주의 로키봇(LokiBot)이라는 정보 탈취형 트로이목마를 배포하는 스팸 캠페인이 발견됐다. 이를 적발한 보안 업체 트러스트웨이브 스파이더랩스(Trustwave SpiderLabs)는 “공격자들이 매우 독특한 탐지 회피 기술을 사용하고 있다”고 경고하기도 했다. www.boannews.com 얼마전에 발견된 윈라(WinRAR) 취약점을 이용한 공격인가 봅니다. 윈라를 통해서 알집을 풀면 정상적으로 악성 exe 파일이 떨어지게 됩니다.
4/8 News, 드론 활성화 위한 ‘드론법’ 국회 본회의 통과
https://www.boannews.com/media/view.asp?idx=78469&page=1&kind=2 드론 활성화 위한 ‘드론법’ 국회 본회의 통과 국토교통부는 드론산업 육성에 관한 특별법인 ‘드론 활용 촉진 및 기반 조성에 관한 법률’이 제정법으로 지난 5일 국회 본회의에서 통과됐다고 밝혔다. www.boannews.com 드론법이 국회 본회의에 통과되었다고 합니다. . . ㅁㄴㅇㄹ 오늘 면접이라 집중이 안되네요.
CBM CTF / WriteUp (web - 45point)
CBM CTF 입니다. 4/7 03:00 ~ 4/8 03:00 까지 진행됩니다. 웹 45point 문제입니다. 해당 URL로 접근해 줍니다. cool 이라는 버튼하나만 떡하니 있습니다. 버튼을 누르면 destination 이라는 URL 로 이동하게 됩니다. Burp Suite로 site 맵을 확인해 보니, 브라우저 에서는 확인할 수 없었던 Redirection 페이지들이 보입니다. 그 중에 cool9 라는 페이지에서 쿠키 값안에 플래그가 숨어 있습니다.
버그바운티(Bug Bounty) Write-up / Stored XSS
https://hackerone.com/reports/415484 Shopify disclosed on HackerOne: Stored xss # Description : WAF cut html tages but when put before tages we can bypass it :) . #Step to reproduce : 1-Open your store account 2-Navigate to https://xxx.myshopify.com/admin/settings/general 3-Put your street address xss payload (xss"> hackerone.com 오늘도 역시 XSS로 바운티를 받은건을 가져 왔습니다. 날려먹어서 다시씀 Stored XSS를 성공시켜서 무려 1000..
버그바운티(Bug Bounty) Write-up / Path Disclosure ($50)
https://hackerone.com/reports/503804 Unikrn disclosed on HackerOne: Path Disclosure Vulnerability... Hello, there is a path discovery on the server. https://crm.unikrn.com/plugins/MauticZapierBundle/MauticZapierBundle.php https://crm.unikrn.com/plugins/MauticCloudStorageBundle/MauticCloudStorageBundle.php and other scripts at https://crm.unikrn.com/plugin hackerone.com 매우 간단한 보고서 입니다. 이런것도 바운티가 ..
4/5 News, 4월부터 180개 금융회사 대상 침해사고 대응훈련 실시한다
https://www.boannews.com/media/view.asp?idx=78421&page=1&kind=1 4월부터 180개 금융회사 대상 침해사고 대응훈련 실시한다 국내 180개 금융회사를 대상으로 한 침해사고 대응훈련이 4월부터 12월까지 상시적으로 진행된다. 금융보안원은 금융IT 신기술의 발달로 인해 전자금융의 이용 및 편리성이 높아지고 있지만 동시에 사이버 공격도 증가 및 진화하고 있다면서, 특히 사이버 범죄는 지능화·고도화·전문화되고 있어 금융소비자를 위협하고 있다고 지적했다. 아울러 이메일이나 SNS 등을 이용해 임직원을 상대로 하는 표적형 공격이 지속적으로 이루어지고 있다고도 설명했다. www.boannews.com 금보원에서 올해 180개의 금융회사를 대상으로 침해사고 대응훈련을 실..
네이버 뮤직에서 VIBE(바이브)로 음악 리스트 옮기는 법
이제 VIBE와 네이버 뮤직이 분리되서 교차사용이 안됩니다. 퇴근하고 네이버 뮤직으로 음악을 듣는데 1분밖에 안나와서 당황했네요.. 어..결제분명히 했었는데..? 바로 VIBE를 깔고 노래목록을 봤더니 역시 네이버뮤직 앱이랑 노래목록 연동이 되지 않았습니다. 한참 방법을 찾다가 겨우 발견했어요.. 혹시 헤메시는 분 계실까봐 방법 공유해 드립니다. 먼저 본인의 프로필을 눌러줍니다. 그다음 편집버튼을 누르고.. 플레이리스트가 꺼져있음을 발견했습니다. 눌러줍니다. (헷갈리게 이건왜 디폴트를 꺼짐으로 해둔거야) 네이버 뮤직에서 쓰던 앨범리스트가 있습니다. 없으신 분들은 네이버 뮤직앱에서 만들어주세요. 원하는 앨범을 체크박스하고 저장해주면 네이버 뮤직과 연동이 완료됩니다.
버그바운티(Bug Bounty) Write-up / POST Based XSS ($500)
https://hackerone.com/reports/429679 Shopify disclosed on HackerOne: POST-based XSS on apps.shopify.com Hello Shopify team! I found a post-based XSS which may be shared to other users and occurs in firefox, IE, Edge. How to reproduce: 1. at partners.shopify.com go to apps -> choose one -> more actions -> create shopify app store listing 2. you will get redir hackerone.com 오늘도 역시 XSS 건 입니다. XSS가 ..
4/4 News, 한수원 공격 해킹그룹 ‘김수키’의 새로운 사이버공격 발발
https://www.boannews.com/media/view.asp?idx=78393&page=1&kind=1 한수원 공격 해킹그룹 ‘김수키’의 새로운 사이버공격 발발 2014년 한수원 해킹사건의 공격조직으로 알려진 김수키(Kimsuky)의 새로운 사이버공격이 발견돼 이목을 집중시키고 있다. 보안 전문 기업 이스트시큐리티(대표 정상원)의 시큐리티대응센터(이하 ESRC)는 외교 안보 관련 자료를 위장한 스피어 피싱 이메일 공격이 포착되었다고 3일 밝혔다. www.boannews.com 한수원의 공격 해킹그룹인 김수키는 최근 한반도 관련 주요국 동향.hwp, 3.17 미국의 편타곤 비밀 국가안보회의.hwp 등의 메일명을 가지고 해당 분야에 종사자들에게 보내는식의 공격을 시도 했다고 합니다. 이번에는 내용..
XSS Polyglots ( 강력한 한줄 XSS 공격 구문)
XSS Polyglots XSS하면 떠오르는 구문이 있죠 구문으로 성공하기 보다. 앞의 구문을 마무리 하기위해 "> 오른쪽 꺽쇠를 넣어준다던지 아니면 --> 를 써서 주석처리를 해버린다던지 하여서 "> 이런식으로 공격코드를 작성하게 됩니다. 만약에 주입이 되는곳에 어떤 취약점이 있는지 모르는 상황일때, 즉 blind XSS를 해야 할 경우, 여러번의 공격 Request를 서버로 보내서 추측해봐야 합니다. / 도 넣어보고.. "> 도 넣어보고 .. 도넣어보고 이런식으로요. 그런데 이런 작업을 한방에 해줄 수 있는 공격구문이 있는데요. 이걸 Polyglots 라고 부릅니다. 여러번 Request를 하는것보다 한번의 요청으로 하는게 당연히 좋겠죠. 먼저 OWASP 홈피에 나와있는 Polyglots 공격코드를 ..
XSS Attack 에 사용될 수 있는 이벤트 핸들러
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet XSS Filter Evasion Cheat Sheet - OWASP Last revision (mm/dd/yy): 02/23/2019 Introduction This article is focused on providing application security testing professionals with a guide to assist in Cross Site Scripting testing. The initial contents of this article were donated to OWASP by RSnake, www.owasp.org FSCommand() (attacker can ..