드롭박스(Dropbox)에서 해커에게 130개의 GitHub 저장소를 침해당했다고 밝혔다. 피싱 공격을 통해 훔친 직원의 크리덴셜을 통해 GitHub 계정 중 하나로 접근한 것. 이는 GitHub의 의심스러운 활동을 알림을 보고, 저장소를 확인하는 도중에 침해당했다는 사실을 알게된 것. 드롭박스 측의 조사에 따르면, 공격자가 접근한 저장소에는 드롭박스 개발자가 사용하는 API 키와 같은 크리덴셜이 포함되어 있다고 한다. 이 외에도 포함된 데이터는 다음과 같다. - 드롭박스에서 사용하기 위한 타사 라이브러리 복사본 - 내부 프로토타입 - 보안 팀에서 사용하는 일부 도구 및 구성 파일 - 드롭박스 직원의 이름 및 이메일주소 - 현재 및 과거의 고객, 공급업체 등의 이름 및 이메일 주소 다행히도 핵심 앱이나 ..

secedit 명령어 현재의 보안 구성을 지정한 보안 템플릿과 비교하여 처리 매개변수 설명 /analyze 저장된 초기 설정에 대한 현재 시스템 설정 분석. /configure 저장한 보안 설정을 사용하여 시스템 구성 /export 저장한 보안 설정을 내보내기 /generaterollback 구성 템플릿에 대한 롤백 템플릿 생성 /import 서식 파일에 지정된 설정을 시스템에 적용하거나, 시스템을 분석할 수 있도록 보안 템플릿을 가져온다. /validate 보안 템플릿 구문의 유효성 검사 secedit 명렁어에 대한 더 자세한 정보는 MS Learn으로 (이동) REM 현재 보안 설정을 내보낸다. /ctg는 경로 및 파일이름 지정 secedit /export /cfg secpol.txt [System ..

1. 개발자도구 F12 내 있는거 복붙할 때 Elements 탭에서 하지 말기. Source > (index) 에서 복붙하자. Elements에서 하면 잘린다. 2. https://cat-in-136.github.io/2010/12/aadecode-decode-encoded-as-aaencode.html aadecode - Decode encoded-as-aaencode JavaScript program. ['_'] aadecode - Decode encoded-as-aaencode JavaScript program. (ﾟДﾟ) ['_'] Enter ... cat-in-136.github.io 디코드 결과 var enco=''; var enco2=126; var enco3=33; var ck=docume..

los에서 나온 새로운 유형이라 당황했다. 1. LIKE 절의 와일드 문자는 두개 % 과 _ 게스트 필요없는데... '_' 와일드문자를 통해 pw가 몇글자인지 찾아보자. 8글자네. 2. 사실 pw에 이것저것 넣어봐서 어떤 문자가 들어가는지 확인해봤다 (노가다) 0 1 2 3 8 e D d E 그리고 ?pw=8%, ?pw=%0 통해서 첫글자와 마지막글자가 8,0이라는 것을 알게되었다. 그럼 8 _ _ _ _ _ _ 0 3. 노가다로 대입하기 8 3 2 _ _ _ 0 어라 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 어라? 다른 사람은 어떻게 풀었는지 궁금해서 찾아봤다. 나처럼 모든 가능한 문자열을 찾은 것이 아니라.. ?pw={}% 앞에서부터 하나씩 찾아가며 푼다. 그러니까 ?pw=8% ?pw=83% ?pw=..

돼지 도살(Pig Butchering)이라는 이름의 신종 스캠이 미국에서 퍼지고 있다. 돼지를 살찌게 한 뒤 도살해 많은 고기를 얻는 것과 같다고 해서 붙여진 이름이다. 피해자들과 친분을 쌓은 뒤 가짜 암호화폐 중개 플랫폼을 소개하며 투자하도록 속이는 신종 암호화폐 사기로, 암호화폐를 구입하게 하여 초기에 돈을 불려주고, 투자 규모를 점점 늘려 이를 가로채는 수법이다. Global Anti-Scam Org에 따르면 수천명의 피해자가 확인되었으며, 평균 손실액은 15만달러가 넘었다. 몇주, 몇 달에 걸쳐서 진행되며, Crypto Romance Scam의 일종이다. 매력적인 사진을 가진 계정을 사용하여 독신인 고학력자를 타겟으로 삼았다. 그들과의 낭만적이고 친밀한 대회를 통해 피해자들이 자신을 믿게 만든다...

현재 버전의 OpenSSL에서 치명적인 취약점이 발견. OpenSSL 프로젝트 측에서는 2022-11-01에 새로운 버전인 3.0.7 버전을 발표할 것. 취약점 내용은 공개되지 않았으나, 익스플로잇될 경우 큰 피해가 있을 수 있다고 함. OpenSSL은 굉장히 널리 사용되고 있는데, 초고위험도 취약점이 등장함으로서 하트블리드(Heartbleed) 사태가 다시 언급되고 있다. ＃ 하트블리드: OpenSSL에서 최초로 발견된 초고위험도 취약점. 익스플로잇 시 피해자의 인터넷 통신 내용 도청 및 가로채기 가능. 패치 발표를 미리 예고한 것은 그에 대한 대비를 미리 준비하라는 의미로, 어떤 곳에 패치가 필요한지 파악하라는 것. 널리 사용되는 만큼 패치가 발표되었을 때 취약 버전을 찾는 것은 늦는다. 그냥 안전한..

14번문제 1. [필터링] 공백 \t tab \n 개행 (LineFeed) \r 개행 (CarriageReturn) ----------- 1글자 넘으면 필터링 2. %01 이건 입력되긴함 %20 당연히 안됨. 3. %0b: vertical tab %0c: form feed clear 공백우회방법 찾은 곳https://go-top.tistory.com/entry/SQL-Injection-%ED%95%84%ED%84%B0%EB%A7%81-%EC%9A%B0%ED%9A%8C-%EB%B0%A9%EB%B2%95-%EA%B3%B5%EB%B0%B1%ED%8E%B8

1. 공백 필터링 = 필터링 ' 필터링 or and substr ascii like 필터링 2. 그럼 해당 코드에서 hello admin 출력하기 위해서 뭘 입력해야 하는가? ?no=1||id%09in%09(char(97,100,109,105,110))&&1%09in%09(1)%09%23 3. pw 길이를 알아내자. ?no=1||id%09in%09(char(97,100,109,105,110))%26%26length(pw)%09in%09(8)%23 - &가 안먹혀서 %26으로 입력함. - 노가다로 풀이 예정 4. ?no=1||id%09in%09(char(97,100,109,105,110))%26%26ord(mid(pw,1,1))>60%23 ord 함수 필터링 당했다. or 필터링 때문인가? 갑자기 화가난다..