Search Results

실습 전 이론 변수명, 상수명에는 약간의 제한이 존재 변수명은 문자와 숫자로 이뤄지는데, 첫번쨰 글자는 무조건 영문, "_" 도 문자로 취급됨, 밑줄로 변수명 시작은 불가 대문자와 소문자는 완전히 구분된다. C언어에서는 관습적으로 변수명에는 소문자를, 상수명에는 대문자를 써왔다. ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ 한 함수의 내에서만 사용되는 변수의 이름은 31개의 문자로 구별한다. 함수이름과 외부변수 등의 외부 이름으로 31보...

실습 전 이론 C에는 다음과 같은 몇 개의 기본적인 데이터 형이 있다. 위 기본형에는 몇 개의 한정사가 붙을 수 있는데 정수형에는 short와 long을 쓸 수 있다. short int sh; long int counter; 이런 선언문에서 int란 단어는 보통 생략. ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ int, short, long의 길이는 하드웨어나 컴파일러에 따라 다르게 정해진다, 보통 short ...

현재 사용하고 있는 UM890이라는 미니PC다. (앞에 라이젠7이라고 적혀있는데 배송오류로 890이 왔다.) CPU 자체는 라이젠9 8945hs 를 사용하고 있어 부족함이 없는데 CPU 자체에 내장된 GPU는 780m으로 조금 부족하다. FHD 기준오버워치 100프레임 정도가 간당간당? 한 정도 인것 같은데 살짝 아쉬운 점들이 있어서 EGPU를 결합하려 한다. 여러 형태의 EGPU 독이 존재하는데, 외장 GPU 전력을 위해 파워를 별도 구매하는 것...

마누스 ai는 메타에서 인수한 ai 기업이다. 메타에서 인수하기전에도 한번 써보고 한동안 까먹고 있었는데, 아니 이거 미친거아닌가ㅋㅋㅋㅋㅋㅋㅋㅋㅋ 프롬프트 단 한번으로 모바일 앱 진단 용 apk를 만들어주네 마누스 ai의 가장 큰 특징은 ai 용 으로 별도 컴퓨터를 돌려준다는건데, 그래서 오히려 제약이 덜한 부분이 많다. 직접 브라우저를 켜고 검색을 할때 사용자 허가를 받을 필요가 없고, 지금은 자체적으로 안드로이드 스튜디오를 설치하고 있으며 이...

취약점 설명 Apache 설치시 기본적으로 설치되는 경로가 있다. /var/www/html 공격자가 대상의 웹서버가 Apache를 사용한다는걸 인지하고 있다면, 혹은 인지하지 못하더라도 우선적으로 확인하는 경로가 될 것 이다. 해당 기본 디랙터리를 DocumentRoot 라고 지칭하며, 디폴트 값이 아닌 수정된 경로로 DocumentRoot 를 변경하여 운영하고 있는지 확인하여야 한다. 딴소리 윈도우의 경우에는 경로뿐만 아니라 드라이브 자체를 구분짓...

취약점 설명 어찌보면 당연한 이야기, 기본적으로 생성되는 메뉴얼 파일을 제거 및 테스트용으로 만들어둔 더미 파일들이 존재하지 않나 체크하면 된다. 딴소리 진단 스크립트의 경우 기본적으로 존재하는 매뉴얼 파일만 스캔 후 양호, 취약을 결정짓는 케이스와 파일명에 test가 들어있거나, 혹은 웹 서비스 디렉터리의 파일들을 나열하여 담당자에게 불필요 파일이 존재하는지 한번 더 인터뷰를 거치는 케이스 두가지가 존재하는 것 같다. 진단 방법 담당자...

취약점 설명 웹 서비스 설정에서 심볼링 링크 사용이 중지되어야 하는 이유를 설명하기 위해 시연 apache2.conf 에서 FollowSymLinks 앞에 -가 존재하지 않을 경우 취약 (해당 값을 삭제하여도 되지만, 버전에 따라 기본값으로 활성화가 될 수 있으므로 앞에 - 기호를 붙이는 방식을 권고) 조치를 위해선 -FollowSymLinks 로 변경 취약점 시연 아래 명령어를 통해 웹 서비스 디렉터리에 /etc/passwd 로 접근하는 심볼릭...

취약점 설명 심볼릭 링크는 윈도우의 바로가기 와 같은 맥락의 기능이다. 웹 서비스에선 기본적으로 DocumentRoot 디렉터리 보다 상위 디렉터리로 접근하는 것을 차단하는데, 심볼릭 링크 사용이 활성화되어 있을 경우, /etc/passwd 와 같은 민감 데이터에 접근이 가능하다. 딴소리 해당 취약점 시연 과정은 아래 링크를 참조 https://www.ochidstudy.com/books/apache/page/9c838 진단 방법 우분투 ...

취약점 설명 업/다운로드 용량을 지정하지 않을 경우 악의적으로 대용량, 혹은 수많은 파일들을 업/다운로드 해 서비스 운영에 영향을 줄 수 있다. 딴소리 용량을 꼭 특정 값 이하로 지정해야하는건 아니다. 서비스 운영 상 필요한 만큼만 제한을 걸어 놓으면 된다. 용량제한이 30기가로 되어 있더라도, 서비스 운영상 해당 용량이 필요할 경우 양호가 될 수 있다. 용량제한 500기가와 용량제한 없음은 완전히 다르다. 진단 방법 apache2.conf...

취약점 설명 디렉터리 리스팅의 경우 특정 파일이 아닌 디렉터리 경로로 진입했을 경우 해당 디렉터리의 파일들을 보여주는 설정이다. (www.test.com/main.php 가 아닌 www.test.com/upload/ 같은 경로) 개발 환경에서는 사용하여 편의성을 높일 수 있겠지만 해당 설정이 운영 중에도 활성화 되어 있을 경우 굉장히 취약해진다. 딴소리 웬만하면 다들 막혀있지만, 정말 가끔 웹 모의해킹 시 보이는 경우가 있다. 진단...

취약점 설명 apache 서버 데몬이 root 권한으로 운영될 경우 불필요하게 과도한 권한을 가지고 있으며, 다른 취약점들을 통해 root 권한을 획득 할 수 있으므로 별도 계정을 사용한다. 기본적으로 www-data 계정을 사용한다. 진단 방법 아래 명령어를 통해 apache2가 어떤 계정으로 실행되는지 확인 ps-ef | grep apache2 딴소리 진단 시 아래와 같은 프로세스들이 나열된다. 맨위의 프로세스가 root로 실...

취약점 설명 대부분의 서비스 진단 시 포함되어 있는 항목이다. EOS 날짜를 확인 후 보안패치가 진행되고 있는 버전을 사용 중인지 확인한다. 진단 방법 아래 명령어를 사용하여 버전 정보 확인 apache2 -v EOS 확인 사이트에서 apache2의 EOS 날짜 확인 https://endoflife.date/ 양호 취약 기준 apache의 버전이 보안 패치(Security Support)를 지원할 경우 양호 2.4 뒤의 52 같...

취약점 설명 웹서비스를 운영할 경우 존재하지 않는 디렉터리, 파일 등에 접근하게 되면 Not Found 페이지가 출력된다. 별도의 설정이 없을 경우 Apache의 버전정보가 출력되므로 수정이 필요하다. 딴소리 아니 이거 왜 진단 가이드에 없지; 웹 모의해킹 절차에 있어서 그냥 스킵했나..? 진단 방법 apache2/conf-available 경로의 security.conf 파일을 확인하여 아래 두가지 항목의 활성화 여부 확인 양호 취약...