SK shieldus Rookies 16기

현업에서는 다양한 통신 모델이 존재 internet == public network ===> 비상업적 통신 모델 => TCP/IP TCP/IP - 프로토콜: - 4계층 : application(5,6,7, 웹브라우저, data) > transport(4, OS, segment(port)) > internet(3, OS,packet(ip)) > networkaccess(2,1, LAN,frame(mac)) segment(port) ==> datastream packet(ip) ==> datagram frame(mac) - 비독점적 프로토콜 관제 룰 -패킷 분석 -시크니처 Wireshark = 패킷 수집+패킷 분석 - 패킷 스니핑 또는 프로토콜 분석 툴 *sniffing =>도청 *sniffer => 도청 ..

패킷분석을 위한 네트워크 장비 특징 ip subnet gateway 각 기능 구분 A B 의 switch-, gateway 특징 등 논리적 주소 (3계층 주소) - IP address: network id + host id >> 서브넷 마스크로 알 수 있음 a는 192.168.1.0의 10번째 pc c는 192.168.5.0의 10번째 pc *서브넷 마스크 필요 : 네트워크 아이디 호스트아이디 구분 6p: 네트워크 아이디로 외부망과 내부망을 구분 물리적 주소 (2계층 주소) - 우리가 사용하는 카드는 이더넷 카드 - 물리적 주소 , mac address ipconfig ipconfig /all 물리적 주소 : 12자리 / 16진수 체계 6자리: 제조회사 번호 나머지 6자리: 몇번째 일련번호 MAC 주소 ..

var/www/html >> phpinfo.php sudo apt install libapache2-mod-php,php-mysqli,php-gd Burp Suite burp suite 설정 proxy 설정 : 127.0.0.1 8080 repeater bruteforce send to intruder >> bruteforcer sql injection https://blogger.pe.kr/734/ [모의해킹] SQL인젝션 실습하기 - DVWA SQL injection - Medium Level 지난 번에 설치한 웹 해킹을 실습할 수 있는 DVWA로 이런 저런 테스트를 하고 있다. blogger.pe.kr id=1 or 1=1&Submit=Submit > 전부 출력 - 1 정보만 보여야 되지만 전부가 ..

kali linux - 한글 설치 sudo apt install fonts-nanum >> >> sudo apt install fonts-nanum >> >> sudo apt install fcitx-lib* >> >> sudo apt install fcitx-hangul - reboot 후 >> input method > fcitx >> fcitx configuration > hangul 추가 -tor browser metasploit - msfconsole >> db_status masscan whatweb -a [주소] : 사이트 구성 확인 nikto -host [주소] wpscan --url [주소] : 워드프레스사이트 joomscan - git clone https://github.com/rez..

파이썬 복습 """ 안녕하세요 """ >>> 변수가 있는 경우 값이 됨. range() - list(range(4)) call by reference: 주소 참조, 위치기반 파라미터, 만약 키워드로 할 시 순서 고려 리스트 empty = [] nums = [10,20,30,40,5] a= list() item - spam.insert([0],dog) spam.remove 튜플 - 불변 자료형 - 읽기만 사용 - 적은 메모리 eggs = ('hello', 42, 0.5) colors = 'red','green','blue' 자바는 call by value? 딕셔너리 ham = {'species': 'cat','name':'zophie','age':'0'} enumerate - index, value의 튜플..

DB 락 시큐어 코딩 입력 데이터 검증 및 표현 공급망 해킹 - 소스코드 취약점 Log4j 취약점 방치된 오픈소스 sql injection - where절에 삽입 SELECT * FROM table_name where id=" + id SELECT * FROM table_name where id=1 or id=2 인자화된 쿼리 사용권장 "SELECT * FROM table_name where id = {}".format(id) ORM프레임워크 사용 - Django 등등 String을 만드는 구조는 권장하지 않음. 적절한 검증을 거치도록하고, 사전에 정의된 리스트 에 포함된 식별자만 사용하도록! 경로 조작 문자열 필터링 >> '.' , '/' , '\\' 포트번호: 21번(FTP), 22번(SSH), 23..

DB - 정보를 저장, 관리 및 검색하기 위한 체계화된 방법을 제공하는 시스템 - PostgreSQL - DB암호화? 평문노출, 암호화노출 : 민감한 문제 문제로 DB암호화 솔루션, 암호화 자체 지원 db browser dbeaber https://sqlite.org/cli.html Command Line Shell For SQLite If this option is passed a non-zero argument, the ".expert" command generates similar data distribution statistics for all indexes considered based on PERCENT percent of the rows currently stored in each datab..

복습 리스트, 딕셔너리, for문, 튜플 언패킹, 가변 자료형, 불변자료형(튜플 자료형), 참조, 딕셔너리(key, values, item, setdefault), inline for문, 문자열(upper,lower, join, split, 정규표현식 - 유효성 검증 필요 - 검사, 추출, 나누기, 치환 - ^, $ 시작과끝 예외처리 - 예외 처리를 해서 코드 에러가 보여지지않게끔하는게 중요 로깅 - 로깅을 통해서 에러가 나타났을 때 점검시에 사용됨 클래스 - 첫번째 대문자 - 생성자 __init__() requests 요청, 다운로드/ bs4 분석/ selenium 사람이 파싱 - beautifulsoup - selenium : 느린 단점 / webdriver 설치 안해도 됨 Crowler https:..

tictacto _리스트 복습 os.walk(path) : 로그 경로 검색 시에 사용될 수 있음 OWASP : 보안 프로젝트, 매 년 10대 보안 취약점 - 보안 분야에서 확인 중요 로깅 시에 - 법에서 맞추는 로그 - 정보통신망법 - 개인정보보호법 ex) 제 28 조 개인정보 보호조치 개인정보보호법: 제 30조 - 법을 알고 제시... - 법 공부 ㅜ 웹 데이터 수집 - 크롤러: 요청, 서버 과부하, ddos - 무한 크롤러 사용 시 업무방해 혐의 공공데이터 포털 - 오픈 API 네이버>> 오픈API 크롤러 skyscanner (크롤러 활용) - 다른 항공사의 데이터 Coocha( 크롤러) danawa Web - 상호 간에 영향을 주는 단점 - DB를 분리 - APache, php + DB 기존서버: ..

복습 tictacto - 정규 표현식 사용 # 사용자가 1에서 9 사이의 유효한 숫자를 입력했는지 확인하기 위해 정규 표현식을 사용 - 1~9 로 보드 입력 - pc와 사용자 대결하도록 pickle file - 경로 설정 후에 - 파일 저장, 불러오는 코드 폴더네임 > 서브폴더> 파일 이름 예외 처리 - 웹 취약점 관련 해서 try except 처리 중요 디버깅 파이참: 위치선택하고 디버깅, F9로 재개 VsCode: 위치 선택하고 파일 디버그 >> 단위 실행 F10 >>터미널 입력하면 실행코드 로깅 - log 4 J : 취약점 문제 >> 취약점 점검 시에 취약한 부분은 발견되지 않지만, 발견되어서 패치해야됨 옛날 버전에 문제가 있었음. 클래스 객체화 모델링, 객체 간의 상호작용으로 프로그램 설계 코드 ..