해커린이

인증 의무대상자는 전기통신사업법 제2조제8항에 따른 전기통신사업자와 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자ISP - 전기통신사업법 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는자IDC - 정보통신망법 제46조에 따른 직접정보통신시설 사업자,  100억이하 VIDC 재외연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우- 의료법 제3조의4에 따른 상급종합병원- 직전연도 12월31일 기준으로 재학생 수가 1만명 이상인 고등교육법 제2조에 따른 학교 (대학교)정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인자전년도 직전 3개월간 정보통신서비스 일..

4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유마. 변호사법에 따른 변호사의 경우에는 6년의 개인정보보호 유관경력을 보유한 것으로 본다.바. 동일 기간에 두 가지 이상 업무가 중복되는 경우에 하나의 경력만 인정하며, 모든 해당 경력은 신청일 기준 최근 10년 이내의 경력에 한해 인정한다.정보보호경력(1년) - 정보보호 관련 석사, 정보보안기사, 정보시스템감시사(CISA), 정보시스템보호전문가(CISSP)개인정보보호경력(1년) - 개인정보보호 관련 석사, 개인정보 영향평가 전문인력, 개인정보관리사(CPPG)정보기술경력(1년) - 정보기술관련 석사, 정보시스템감리원, ..

DVWA > 로그인 > SQL InjectionUser ID에 1 입력User ID에 2 입력웹 소스 확인 - php 구문 작성 - SQL 쿼리 확인, WHERE user_id = '$id'입력칸에 따옴표(') 넣기에러 구문 확인php 구문은 #으로 입력하는 경우 별다른 차이가 없음 기본 ' or 1=1  입력 -> User ID 전체를 확인 할 수 있음

LAB: Role Based Access Control Stage 3: Breaking Data Layer Access Control.http://192.168.188.134/WebGoat/attack?Screen=217&menu=200&stage=3 employee_id=105 값 수정 -> employee_id=104성공메시지

Bypass a Path Based Access Control Scheme http://192.168.188.134/WebGoat/attack?Screen=209&menu=200 Request 값 수정 성공 화면

운영체제 명령 실행 "|", "&", ";", "'" 문자에 대한 입력 웹 어플케이션 파라미터 값에 운영체제 명령 실행 후 확인  http://192.168.188.134/dvwa/vulnerabilities/exec/# http://192.168.188.134/bWAPP/commandi.php

정보노출 취약점 중에 소프트웨어 버전정보를 확인하는 방법에 대해서 알아본다.다양한 방법으로 소프트웨어의 버전정보를 알아낼 수 있다면 CVE나 POC 등을 검색하여 추가 공격을 진행 할 수 있다.특히 제로데이 취약점(Zero-day)이 확인된 경우에는 빠르게 공격 위험도를 낮출 수 있는 조치를 취해야 한다.[bwapp]http://192.168.188.134/bWAPP/phpinfo [dvwa]http://192.168.188.134/dvwa/vulnerabilities/exec/phpinfo.php 아래 화면은 가장 많이 볼 수 있는 버전정보 이며, 간혹 버전정보 없이 애플리케이션 명만 확인되는 경우도 있다. [testphp.vulnweb.com]http://testphp.vulnweb.com/robot..

보안정보공유 카페에서 함께 의견나눠요~cafe.naver.com/boaninfoview-source:http://testphp.vulnweb.com/

입력 값을 변조하여 비정상적인 SQL 쿼리를 조합하거나 실행하는 공격 로그인 페이지에 SQL 쿼리문을 삽입하여 로그인이 되는지 확인 로그인 페이지에 SQL 인젝션 공격 시도(id/passwd 부분에 'or 1=1 --' 등의 구문 입력 http://testasp.vulnweb.comID : testPW : 'or 1=1--http://testphp.vulnweb.com/userinfo.phpID : ' or 1=1--PW : ' or 1=1--http://testaspnet.vulnweb.com/login.aspxID : ' or 1=1--PW : ' or 1=1-- https://demo.testfire.net/login.jsp 이와 관련해서 궁금한 사항은 편하게 아래 채널에 들어오셔서 문의주시면 됩니..

디렉토리 인덱싱은 찾기 쉬운 취약점이라 생각할 수 있지만 수동으로 찾기에는 쉽지 않을 것이다.가끔 개발자들도 "이게 취약점이예요?" 라고 물어보는 경우도 있다구글 검색 만으로 찾을 수 있도 있으니 꼭 검색해보자..디렉토리 인덱싱 = 디렉토리 리스팅취약점이 존재하면 서버 내의 폴더 및 파일구조를 확인할 수 있음 웹사이트 URL 에 구문 입력하여 디렉토리가 노출되는지 수동 점검 함 - /icons/ - /images/ - /pr/ - /adm - /files - /download - /files/attach/images  [bwapp]- 수동 점검- 자동 점검 - kali dirb 사용 [DVWA]- 자동 점검 - kali dirb 사용[http://testphp.vulnweb.com/]이와 관련해서 궁금한..