보안맨

2015년 2월에 취득한 태권도 1단 이제 너무 옛날이라 가물가물하지만 기념하기위해 후기를 남겨본다. 본격적으로 공부를 시작하기 전, 체력이 너무 저질이라 운동을 좀 해야겠다고 생각을 했었다. 처음에는 혼자 뛰어도 보고 팔굽혀펴기도 해보고 했는데 아무래도 혼자 하는거라 딱히 체력이 늘고있다는 느낌이 들지는 않았었다. 그래서 어디 한군데 가서 좀 배워보자고 마음을 먹었고, 마침 집 바로앞에 있는 태권도장이 눈에 들어왔다. 솔직히 처음에는 태권도는 약간 어린애들이 많이 가는 느낌이라서 망설였는데 문의해보니 성인반에도 꽤 사람들이 있어서 바로 등록했다. 한 6개월 정도 다니고 승단심사를 봤던거 같다. 1단 승단심사는 정권지르기, 발차기 같은 기본자세를 먼저 보고 태극 1~7장 중 1개, 태극 8장 두 가지 품..

간단한 포렌식 문제이다. flag.zip 이라는 압축파일이 하나 주어진다. 해당 zip 파일을 압축을 풀려고 시도하면 비밀번호를 입력하라고 한다. zip 파일을 crack 하는 문제는 CTF에서 엄청나게 많은 유형이 있지만 이렇게 배점이 낮은 쉬운문제는 간단하게 접근해야 한다. John the Ripper 라고 하는 비밀번호 crack 해주는 무료 소프트웨어이다. zip 파일 뿐만 아니라 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. kail 리눅스를 설치한다면 그 안에 기본적으로 내장되어 있다. kail 리눅스로 해당 flag.zip 파일을 옮긴 뒤에 zip2john flag.zip 라고 명령어를 입력하면 john the ripper가 해당 zip 파일에서 hash 값을 뽑아내준다. 이 h..

VMware는 클라우드 컴퓨팅 및 가상화소프트웨어를 판매하는 IT기업이다. 이 회사에서 만든 제품들 중에 가장 많이 사용하는 것이 VMware Workstation 이지 않을까 싶은데 VMware Workstation을 이용하면 컴퓨터안에서 또다른 리눅스/윈도우 등 기반의 컴퓨터(가상머신)을 돌릴수가 있다. 여러 용도가 있겠지만 해킹 공부를 할때 이 가상머신을 많이 이용한다. 해킹공부는 무엇보다도 실습이 가장 중요하다. 실습을 하려면 공격코드도 짜보고 악성코드도 만들어보고 공격툴도 돌려보고 해야하는데 당연한 이야기지만 실제 서버, 네트워크 장비, 어플리케이션이 이런짓을 했다간 바로 잡혀간다. 그렇기 때문에 안전하게 내 컴퓨터 안에서 내 마음대로 가지고 놀기 위해서 가상머신을 이용한다. 내 컴퓨터 안에서만..

2022년 3월 취득한 ADsP ADsP는 Advanced Data Analytics Semi-Professional 의 약자로 데이터분석 준전문가 자격증이다. SQLD와 빅데이터분석기사와 같이 데이터산업진흥원에서 주관하고 있는 데이터 관련 자격증이다. ADP(전문가), ADsP(준전문가) 두가지 등급이 있고, 둘 다 국가공인이다. 빅데이터분석기사를 운좋게 합격하고 난 후에 내 실력으로 합격한게 아니라 운빨로 붙은거 같아서 뭔가 아쉬운 느낌이 들었었다. 특히나 필기시험에서 많은 부족함을 느꼈고, 내가 빅데이터분석기사를 땄지만 정말 데이터분석 능력이 있다고 할 수 있을까? 하는 의문이 들었다. 그래서 조금 더 공부해봐야겠다고 생각했고, ADsP를 준비하게 되었다. ADsP는 빅데이터분석기사보다 쉬운 시험이..

35점짜리 CSRF 문제이다. 0 protection 이라고 써있는걸 보니 아무런 방어장치가 없는 형태의 문제인듯 하다. CSRF는 XSS와 비슷하다. (XSS 문제 : https://hackingstudypad.tistory.com/48) XSS는 Cross Site Script 의 약자고, CSRF는 Cross Site Request Forgery의 약자이다. XSS가 웹페이지에 악성 스크립트를 삽입하여 동작시키는 취약점이라고 하면, CSRF는 조금 더 심화해서 스크립트나 태그를 이용해 사용자가 하지 않은 행동을 마치 사용자가 한것처럼 만들어버리는 것이다.(ex 비밀번호 변경) 문제페이지에 들어가면 로그인창이 나온다. Register 버튼을 눌러서 먼저 회원가입을 해준다. ID는 hello, 비밀번호..

2018년 8월 취득한 HSK 4급 HSK 3급을 취득한 뒤에 약 1년 반 만에 4급을 취득했다. 역시나 취득한지 2년이 지나서 이제는 조회도 안되고 그냥 종이쪼가리일 뿐인 자격이다. 3급때처럼 성적확인서라도 발급받았으면 기록이 남았을텐데.. 많이 아쉽다. (HSK 3급 후기 : https://hackingstudypad.tistory.com/49) HSK는 汉语水平考试(Hànyǔ Shuǐpíng Kǎoshì / 한어수평고시) 의 약자로 중국국가한반에서 주관하여 진행되는 시험이다. 쉽게 중국어 토익이라고 생각하면 된다. 3급을 취득하고 나니 뭔가 아쉬운 느낌이 들었었다. 생각보다 3급은 너무 쉬웠고 '이왕 3급딴거 조금더 가보자!'라는 생각이 들어서 4급까지 도전하게 됐었다. 실제로 스펙으로 쓰려면 최소..

아주 쉬운 스테가노그래피 문제이다. 너무 쉬워서 사실 스테가노그래피인지도 잘 모르겠다. chall1.jpeg 라는 이미지파일 하나가 주어진다. 참고로 해당 파일은 열어보면 이런 사진이 나온다. 어떤 캐릭터인지는 잘 모르겠다. 문제 제목이 스테가노그래피이고 배점도 굉장히 낮기 때문에 아주 쉽게 접근해야한다. 괜히 어렵게 접근했다가 미궁으로 빠져버릴수도 있다. 스테가노그래피는 데이터를 은폐하는 기술을 말한다. 저런 사진파일이나 음악파일 등에 비밀데이터를 숨겨서 전송하는데 사용한다. 당연한 이야기지만 저 사진에도 비밀데이터(플래그)가 숨어있다. https://mh-nexus.de/en/hxd/ HxD - Freeware Hex Editor and Disk Editor | mh-nexus HxD - Freewa..

2017년 1월에 취득한 HSK 3급 다른 어학시험들 처럼 유효기간이 2년이라 이제는 쓰지못한다.. 홈페이지에서 시험결과 조회도 더이상 되지 않는데, 호기심에 신청해봤던 성적확인서 발급 내역은 아직까지 남아있었다. 참고로 성적확인서는 이렇게 생겼다. 본론으로 들어가서, HSK는 汉语水平考试(Hànyǔ Shuǐpíng Kǎoshì / 한어수평고시) 의 약자로 중국국가한반에서 주관하여 진행되는 시험이다. 쉽게 중국어 토익이라고 생각하면 된다. 뜬금없이 중국어 공부에 도전했던건 2016년 11월에 한자 2급을 따고 나서다. (한자 2급 후기 : https://hackingstudypad.tistory.com/16) 한자를 2,300자 정도 외우고 나니 뭔가 알수없는 자신감에 사로잡혀서 중국어나 일본어 중에 한..

XSS - Stored 1 문제 드디어 웹 취약점을 이용한 문제가 처음으로 나왔다. administrator의 session cookie를 훔치라고 한다. XSS 는 Cross Site Script 의 약자로 웹서버에 관리자가 아닌 사람이 악성 스크립트를 삽입할 수 있는 취약점이다. 보통 공격자들은 자신의 서버를 하나 열어놓은 뒤에, XSS 취약점을 이용하여 타겟 웹 서버에 악성 스크립트를 삽입한 뒤, 사용자들의 인증정보(쿠키값, 세션값 등)를 탈취하는데 이용한다. 문제페이지에 접속하면 이렇게 간단한 게시판이 나오게 된다. TEST / hello world 라고 한번 입력해봤다. 입력한 내용이 잘 저장되는것을 확인할 수 있다. 웹페이지는 HTML 로 구성되어 있다. HTML의 특징은 각각의 구성요소를 를..

2022년 1월 취득한 CISA 자격증 CISA는 Certified Information System Auditor 의 약자로, 국제공인정보시스템감사사 자격이다. 미국에 있는 ISACA(Information Systems Audit and Control Association) 이라는 기관에서 주관하며 정보보안기사, CISSP와 함께 보안 3대 자격증으로 잘 알려져 있다. 보안쪽 업무를 해본사람이라면 한번쯤 다들 들어봤을것이다. 그만큼 유명하고, 공신력있는 자격증이지만 시험접수할때 정보가 생각보다 많지 않아서 내가 직접 정리해보려한다. 나는 한번 떨어지고 두번째에 붙었다. CISA 시험은 총 150문제가 출제되며 800점 만점에 450점 이상을 받으면 합격이다. 이게 점수만 보면 쉬워보이는데, 문제 난이도..