이것저것..
리디북스 버그바운티 후기
https://ridi.dev/bounty 리디 버그 바운티 프로그램 리디 버그 바운티 프로그램 소개 리디는 고객 개인정보의 보안을 가장 중요한 가치로 여깁니다. 저희는 버그 바운티 프로그램을 통한 보안 전문가들의 도움으로 고객의 개인정보를 보호하고, 조직 전체에 걸친 보안 정책을 개선할 수 있다고 믿습니다. 만약 리디의 시스템에서 보안 관련된 문제를 찾아내셨다면 저희와 함께 책임있는 공개 절차를 진행해 주시기를 부탁드리겠습니다. 제보해주신 문제점은 저희 내부의 다른 어떤 업무보다 높은 우선순위로 처리를 진행하겠습니다. 범 ridi.dev 리디북스 버그바운티를 6월경에 도전했었습니다. 버그바운티 프로그램에서 가장 많이 제보되는 취약점은 XSS와 OpenRedirect 취약점 인데요. 비록 바운티 금액은 ..
이 프로토콜 아시는분 계신가요.
문득 생각나서 올립니다. 케이쉴드 주니어 초반에 내주셨던 숙제같은 질문이셨는데.. 답을 안가르쳐 주셔서 아직 의문으로 남아있습니다. 어떤 프로토콜이냐면요. 보통 패킷 스니핑을 하려면 동일한 네트워크에서 ARP 스푸핑 같은 기법을 사용해서 스니핑을 진행하게 되는데요. 스니핑을 하기 위해서는 동일한 네트워크내에 있어야 한다는 제약조건이 존재하죠. 그런데.. 동일한 네트워크 상에 있지않아도, 특정 네트워크 내에 있는 특정 클라이언트의 패킷을 스니핑 할 수 있는 프로토콜이 있었?다고 합니다. 쉽게말하면, 우리집에서 집에서 떨어져 있는 스타벅스에 있는 사람의 패킷을 스니핑 하는것이죠. 암튼.. 일단 제 상식선에서 생각해보면 어쩄든 패킷을 스니핑 하려면... 그사람이 보내는 패킷을 저를 통해가야 되는데.. 같은 네..
케이쉴드 주니어 1기 개인프로젝트
케이쉴드 주니어 1기를 진행하면서 개인적으로 진행했던 프로젝트 입니다. 랜섬웨어 감염 PC에 대한 침해사고대응 시나리오를 보고서로 작성하였고, 취업에 도움이 많이되어서 공유드립니다.
카카오톡 봇
const scriptName="test.js"; var cmds = []; var msgs = []; var allWord = ""; var reNamu = /^\.나무 [\w\W]+/i var rePapago = /^\.한영|영한|일한{1} [\w\W]+/i //함수// function AddCMD(request,response){ cmds.push({req:request,res:response}) } function AddMSG(request,response){ msgs.push({req:request,res:response}) } //나무위키 검색함수 function namu(str){ var url = 'https://namu.wiki/w/'+ encodeURI(str); var result; ..
네이버 뮤직에서 VIBE(바이브)로 음악 리스트 옮기는 법
이제 VIBE와 네이버 뮤직이 분리되서 교차사용이 안됩니다. 퇴근하고 네이버 뮤직으로 음악을 듣는데 1분밖에 안나와서 당황했네요.. 어..결제분명히 했었는데..? 바로 VIBE를 깔고 노래목록을 봤더니 역시 네이버뮤직 앱이랑 노래목록 연동이 되지 않았습니다. 한참 방법을 찾다가 겨우 발견했어요.. 혹시 헤메시는 분 계실까봐 방법 공유해 드립니다. 먼저 본인의 프로필을 눌러줍니다. 그다음 편집버튼을 누르고.. 플레이리스트가 꺼져있음을 발견했습니다. 눌러줍니다. (헷갈리게 이건왜 디폴트를 꺼짐으로 해둔거야) 네이버 뮤직에서 쓰던 앨범리스트가 있습니다. 없으신 분들은 네이버 뮤직앱에서 만들어주세요. 원하는 앨범을 체크박스하고 저장해주면 네이버 뮤직과 연동이 완료됩니다.
해피해킹 Professional 2 Type-S 구매!
키보드의 끝판왕 해피해킹 Professional 2 Type-S를 구매했습니다. Type-S는 저소음 버전으로 기존 버전보다 좀 더 비싸요~ 중고로 구입했는데 본 주인분이 5번정도 쓰셨다고 하셨고 제조일자는 2018년 11월자 입니다. 키보드+포인트키캡 해서 총 30만원에 싸게 잘 모셔왔네요~ 와 키보드가 30만원씩이나..? 하시는분들 있어서 설명드리면... 해피해킹은 무려 60키로 일반 키보드가 104키 인걸 감안하면 44키나 없어져버렸습니다. 덕분에 키보드에 손을 올리면 손을 다른곳으로 이동시킬 필요가 없습니다. (예를들어 방향키를 사용할 때) 나머지 44키는 Fn (펑션키) 와의 조합으로 사용할 수 있습니다. 캡스락키도 없어져서 그 자리에 컨트롤이 박혀있습니다. 컨트롤키가 캡스락 키쪽으로 가니까 완..
Juice Shop 실습 환경 구축
VM 플랫폼은 VirtualBox를 이용했습니다. https://www.osboxes.org/kali-linux/ 에서 VirtualBox용 Kali 리눅스를 받아줍니다. Kali 리눅스를 이용하는 이유는 Juice Shop을 풀기위해선 여러 툴들이 필요한데, Kali에는 기본으로 해킹툴들이 내장되어 있어 실습하기에 편리합니다.VirtualBox 의 VDI 로 가상OS를 불러오는 방법은 아실거라고 생각합니다. OSboxes에서 다운받으신 OS의 계정과 패스워드는 root / osboxes.org 입니다Kali Linux가 설치가 완료되었으면, 터미널을 열고, Node.js를 설치해 줍니다. 빨간 네모박스의 명령어를 순서대로 입력해 줍니다. 설치 후, 터미널에 nodejs -v 를 입력했을때 10 버전이라..
OWASP Juice Shop + Kali Linux(2018.04) 환경 공유
OWASP Juice Shop 환경 구축이 완료된 VirtualBox vdi 파일입니다. Desktop/Juice shop/ 경로 내에서 npm start 명령어를 입력하시고, 파이어 폭스를 키셔서 http://localhost:3000 로 접속하시면 됩니다.Kali 계정과 비밀번호는 root / osboxes.org 입니다 Download -> Google Drive 자세한 환경설치 설명 -> https://noirstar.tistory.com/243
케이쉴드 주니어 인증 후기 (보안사고분석대응 1기)
케이쉴드 주니어(KShield Jr.) 보안사고 분석대응 1기 과정이 마무리되었는데요. 추후에 하실 분들에게 조금이나마 도움이 되고자 후기를 써봅니다.올해 8월 20일부터 9월 5일까지 케이쉴드 보안사고 분석대응과정 100명, 그리고 정보보호 관리진단과정 100명 선발 공지가 올라 왔었습니다. 교육 내용은 NCS 기반 실습 중심의 교육이였구요. 저는 보안사고 분석대응과정에 지원하게 되었습니다. 지원모집 대상은 취업을 희망하는 고등학생 및 대학,대학원생으로 모집했었네요. 선발 방법은 서류 -> 시험 -> 면접 순으로 이루어 졌었습니다. 서류를 통과하면 시험일정과 면접일정을 알려줍니다. 이번에 케이쉴드 주니어 1기를 선발할 때 따로 홍보를 하지 않아서 지원자가 적을 줄 알았는데, 의외로 많았다고 합니다. 시..
Shodan 유료버전 구입 ! (블랙프라이데이 세일)
쇼단은 전세계의 모든 IoT기기들을 모니터링 하는 사이트 입니다. 서치엔진이 있어서 원하는 검색어로 검색할 수 있고 여러가지 옵션을 추가하여 검색이 가능합니다. 블랙프라이데이를 맞아 쇼단 유료계정 업그레이드를 매우싸게 팔길래 바로 구매! 구매를 하니까 메일로 바로 메일로 바로 답장이 왔군뇨 유료버전으로 할 수 있는 것들이 아래에 여러가지 나와있었는데요. 가이드북도 무료로 주길래 바로 받았네요. 추후에 가이드북을 충분히 읽어보고 쇼단 사용법도 정리해서 올릴게요! 어쨌든 당장은 필요없지만 언젠가는 필요가 있을거같아서 구매를했는데싸게 구매해서 기분은좋네요!
초대장이 사라지면서 발생할 수 있는 문제점에대해 문의했습니다.
며칠전 티스토리의 초대장이 없어졌는데요. 이를통해서 보안적으로 문제가 있을것같아서 티스토리에 한번 문의를 해보았습니다.결과부터 말씀드리면, 티스토리측 답변으로 보아 보안적으로 크게 문제가 없는것 같네요. 티스토리 자체 보안문제라기 보다는 브라우저취약점 쪽이라 생각해서 그런거일수도 있구요. 티스토리에는 네이버 블로그와는 다르게 HTML 코드를 넣을 수 있습니다. 자바스크립트도 마찬가지로요.이전에는 초대장을 가진 유저만 개설이 가능하기때문에 1차적으로 악의적인 의도를 가진 사용자들을 걸러냈다고 생각합니다. 초대장이 없어지면서 이제는 daum 아이디를 가진 모든 유저가 개설이 가능하게 되었습니다. 네이버 블로그와 마찬가지로 말이죠. 여기서 문제가 발생합니다. 제가 생각한 시나리오는 다음과 같은데요. 해커는 p..
구글검색 100% 활용하기
IT인으로 살아가려면 구글검색은 필수적인 요소입니다. 저는 구글검색을 잘하는 능력도 하나의 기술이라고 생각하는데요 모르는 것을 찾아볼 때 원하는 것을 빠르게 찾아낸다면 업무속도가 더 빨라집니다.그래서 구글 검색을 100% 활용하는 방법을 알아보겠습니다. ① 특정 한 사이트에서 원하는 정보를 찾고 싶을 때 특정 사이트 내에서 원하는 정보를 찾고 싶다면? 검색어 site:원하는사이트명 을 입력해줍니다. ② 특정 단어를 포함한 정보를 찾고싶을 때특정 단어를 "무조건" 포함한 정보를 찾고싶다면? "검색어" 따옴표로 묶어주면 해당 단어는 무조건 포함합니다. ③ 특정 단어를 제외한 정보를 찾고싶을 때특정 단어를 제외한 정보만 찾고싶다면? 검색어 앞에 ' - ' 마이너스 기호를 붙여주면 해당 단어는 무조건 제외됩니다..