분류 전체보기
-
[L.O.B] Level 12 - golemWargame/L.O.B 2022. 11. 2. 07:50
Level 12 - golem을 풀어보자. 새로운 공격 기법이 나타났다!! 소스 코드를 보면 다음 Level은 darkknight이고, FPO라는 힌트가 있다. 간략히 보자면 problem_child 함수의 내용은 40 바이트 크기의 char형 buffer에 src를 41 바이트 복사한다. 그 후 buffer를 출력하며 종료되는데, main 함수에서 이 함수를 실행시킨다. 앞의 Level들과 비교하자면 소스 코드의 길이는 굉장히 줄었고, 제약 조건도 하나밖에 없다. gdb 분석을 통해 dummy 값을 포함해 좀 더 자세히 알아보자. 그런데, 소스 코드 자체가 짧아서 그런지 gdb에 나타나는 내용도 굉장히 간단하다. 문제에 대한 접근을 어떻게 하면 좋을까?? 소스 코드에서 FPO라는 힌트가 있었다. FPO..
-
[L.O.B] Level 11 - skeletonWargame/L.O.B 2022. 11. 1. 06:58
Level 11 - skeleton을 풀어보자. 소스 코드를 보면 다음 Level은 golem이고, stack destroyer라는 힌트가 있다. stack destroyer의 내용은 우선 memset 함수를 이용해 buffer의 처음부터 44 바이트를 0으로 초기화한다. 다음으로 buffer+48 즉, RET 이후부터 스택의 처음까지 모두를 0으로 초기화한다. 이것으로 인해 앞의 Level들과는 달리 스택을 사용하지 못하고, RET 값만 변조하여 공격을 수행해야 한다. 정말로 초기화가 되는지 확인을 하기 위해 gdb 분석을 실시해보았다. leave 명령어가 있는 에 break를 지정하고, 명령어를 입력한 후 레지스터를 보자. 실제로 모든 스택이 초기화되어 있는 것을 확인할 수 있었다. 이 문제를 풀기 ..
-
[정보보안기사] 정보보호 관련 법규Certificate/정보보안기사 2022. 10. 27. 01:29
1. 개인정보보호원칙 - OECD 프라이버시 8원칙, EU 개인정보보호지침, APEC 프라이버시 원칙, 개인정보보호법 등 원칙 반영 1-1. 개인정보보호법 제 3조(개인정보보호원칙) - 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고, 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. - 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. - 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. - 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 ..
-
[정보보안기사] 정보보안 관리Certificate/정보보안기사 2022. 10. 26. 20:10
1. 정보보호 관리 1-1. ISMS-P(Information Security Management System-Personal) - ISMS : 의무 인증 기업이 받아야 하는 인증으로, 관리체계 수립 및 운영, 보호대책 요구사항에 대한 인증 - ISMS-P : ISMS 인증을 받은 기업이 개인정보처리 단계별 요구사항의 인증기준을 준수하면 부여되는 인증 - 정보통신망법, 개인정보보호법을 근간으로 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시를 확정함 - 의무인증 : 기업 스스로 의무대상 여부를 판단하여 ISMS를 구축하고 인증을 취득 - 자율신청 : 인증 취득을 희망하는 경우, 자율적인 신청을 통해 인증 심사 1-2. ISMS-P 의무인증 대상자 - 전기통신사업자로 전국적으로 정보통신망 서비스를 ..
-
[정보보안기사] CryptologyCertificate/정보보안기사 2022. 10. 24. 23:12
1. Encryption - Cryptography : 암호화와 복호화의 원리, 절차 및 방법론에 관한 학문 - Cryptanalysis : 암호문으로부터 복호화 키를 찾아내거나 암호문을 평문으로 복원하려는 학문 - Plaintext : 일반적으로 이해할 수 있는 정보 - Ciphertext : 평문을 이해할 수 없는 형태로 변형한 문장 - Encryption : 암호 알고리즘에 의해 평문을 암호문으로 바꾸는 과정 - Decryption : 암호화된 문장을 평문으로 바꾸는 과정 1-1. Substitution Cipher - 치환 암호 : 단순한 규칙의 문자 대입 방법으로 암호화, 전사 공격에 취약 - 단일 치환 암호 : 치환표를 암호화키로 사용해 평문을 암호화, 빈도수 공격에 취약 - 다중 치환 암호 ..
-
[정보보안기사] 정보보안 일반Certificate/정보보안기사 2022. 10. 24. 20:40
1. 정보보호 개요 - 정보의 수집·가공·저장·검색·송신·수신 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단 / 행위 1-1. 정보보호 목표 - Confidentiality(기밀성) : 정보가 허가되지 않은 사용자에게 노출되지 않는 것을 보장 - Integrity(무결성) : 권한이 없는 사용자의 악의적 또는 비악의적인 접근에 의해 정보가 변경되지 않는 것을 보장 - Availability(가용성) : 인가된 사용자가 필요로 할 때 원하는 정보에 접근하고 사용할 수 있는 것을 보장 1-2. 정보보호 공격 유형 - Modification(변조) : 원래의 데이터를 조작하여 다른 내용으로 바꾸는 행위, 정보의 무결성 위협 - Interception(가로채기) : 비인가된 사용자가 전송되..
-
[정보보안기사] 기타 애플리케이션 보안Certificate/정보보안기사 2022. 10. 23. 19:17
1. OWASP(The Open Web Application Security Project) - 신뢰성 있는 웹 애플리케이션 개발 및 운영을 위한 웹 취약점의 우선순위와 위험도 기준의 가이드라인 - 약 3 ~ 4년을 주기로 최고 취약점 10개를 선정해 발표하며 가장 최근 2021 OWASP Top 10을 발표 1-1. Broken Access Control - 취약한 접근 통제 - 인증된 사용자가 수행할 수 있는 작업에 대한 제한을 제대로 적용하지 않을 때 발생 1-2. Cryptographic Failures - 암호화 실패 - 2017 OWASP Top 10의 민감한 데이터 노출을 한 단계 올려서 변경 1-3. A1-Injection - 신뢰할 수 없는 데이터의 명령이나 쿼리문의 일부분이 인터프리터로..
-
[정보보안기사] 전자상거래 보안Certificate/정보보안기사 2022. 10. 23. 16:43
1. 전자화폐 - 디지털 서명이 있는 전자기호 형태로 화폐적 가치를 가지고 있는 정보 - 전자화폐 요구 조건 : 불추적성, 가치이전성, 분할성, 독립성, 이중사용 방지, 익명성 취소 가능 - 몬덱스 : 현금 지불의 장점과 카드 지불의 편리함을 결합, 5개국 통화로 가치 저장 가능, 해외 사용 및 송금 가능 - 비자캐시 : 소액 지불을 위한 지불 수단, 11개국에서 사용 - PC Pay : 스마트 카드와 카드 리더기로 구성된 PC Pay Device와 Interface Software로 구성 - Ecash : 은닉서명 기술을 사용하여 온라인 상에서 완전한 익명성 제공 - Net Cash : 분산 Currency Server를 기반으로 하여, 전자화폐와 교환이 가능 - FDS : 전자금융거래에서 사용되는 정..