해커린이

검색창에 xss 테스트팝업창 확인

쿠키 값이 암호화된것처럼 보이는 경우에 디코딩을 여러번 수행하면 인코딩되기 전의 값을 알 수 있음base64 로 인코딩하는 경우 여러번의 디코딩 과정을 거쳐 원데이터 확인 가능Burp 를 사용하여 base64 디코딩 결과

웹디렉터리 검색시 아래 파일리스트 작성# cd /usr/share/dirb/wordlists# mv common.txt common_old.txt# vi common.txtimgimageimagesadminadmmanagermastersystemdocumenticonsprfilesfiles/attach/imagesdatadowndownloadupuploadcssjs%3f.jsp# dirb http://127.0.0.1

https://securitycode.tistory.com/81 취약한 웹 애플리케이션 (XVWA) Formula Injection 취약점 진단이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기securitycode.tistory.com

# cmd 실행 후 arp -a 명령 실행VM Mac address 확인맥 주소와 일치하는 사설 IP를 확인하여 접속 시도

nmap 서비스 정보 확인 방법# nmap -sS -sV -O x.x.x.x-sS : TCP half open scan-sV : 서비스 스캔-O : 운영체제 확인

정보보호 인증제도는 2018년 11월 7일 ISMS-P로 통합됨기존에 유사한 인증이 통합됨으로 인증획득 및 유지를 위한 투자비용 감소,  인력 절감의 효과를 볼 수 있음ISMS-P는 정보통신망법 제47조, 개인정보보호법 제32조에 따른 법적근거에 따라 과학기술정보통신부, 방송통신위원회, 행정안전부 공동 고시로 운영됨정책기관 - 과학기술정보통신부, 방송통신위원회, 행정안전부인증기관 - 한국인터넷진흥원, 금융보안원심사기관 - 한국정보통신진흥협회, 한국정보통신기술협회, 개인정보보호협회ISMS-P 인증기준 1. 관리체계 수립 및 운영 16개 2. 보호대책 요구사항 64개 3. 개인정보 처리단계별 요구사항 22개ISMS는 80개 인증기준 심사ISMS-P는 102개 인증기준 심사

utmp : 현재 시스템에 로그인 한 사용자를 보여줌, who 명령 사용wtmp : 로그인한 모든 사용자 및 로그아웃된 사용자의 기록을 보여줌, last 명령 사용btmp: 로그인 시도가 잘못되었거나 실패한 정보를 보여줌, sudo lastb 명령 사용 lastlog : 계정 사용자의 마지막 로그인 정보를 보여줌

1. 관리체계 수립 및 운영1.1.5 정책 수립가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산 분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가?핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한하고 있는가? 1.1.6 자원 할당가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가?*권고  -정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상으로 편성  -정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상, 정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상 확보 1.2.1 정보자산 식별가상자산과 ..

/etc/passwd- root : password : userID(UID) : groupID(GID) : 유저정보 : homeDir : loginShell/etc/shadow- 계정명 : 해시알고리즘//salt/패스워드해시값 : 패스워드 변경일 : 패스워드 최소 사용기간 : 패스워드 최대 사용기간 : 패스워드 변경 만기 경고 메시지 수 : 로그인 접속차단 일수 : 로그인 금지 일 수 (월/일/년) : 미사용해시알고리즘- $1$: MD5 ,$2$; blowfish , $5$: SHA256, $6$: SHA512)