본문 바로가기
  • Tried. Failed. Logged.
728x90

분류 전체보기720

정보보안기사 - 커버로스(Kerberos) 커버로스(Kerberos) 미국 MIT 대학에서 개발된 대칭키 방식 인증 시스템 인증 프로토콜이자 동시에 키분배센터(KDC)의 역할도 수행 신뢰받은 제3자 기반의 인증 시스템 SSO를 구현하기 위한 표준으로 사용됨(한 번의 로그인으로 여러 서비스 이용 가능) 구성 인증 서버(AS, Authentication Server) 모든 사용자의 패스워드를 가지고 있으며, 초기 로그인 시에는 AS에서 패스워드로 인증 사용자 입장에선 AS에 한번 로그인하면 인증 과정 종료 티켓 발행 서비스(TSG, Ticket Granting Service) AS에서 인증받은 사용자들에 대해 각 필요한 서비스의 티켓을 발행 서비스 서버 TSG에서 발급받은 티켓으로 이용 가능한 서비스 빈출 문제 다음 중 Kerberos 키분배 프로토.. 2023. 5. 28.
정보보안기사 - 일회용 패스워드(OTP, One Time Password) OTP의 장점 패스워드를 유추할 수 없다. 동기화 방식의 경우, 패스워드의 전송이 이루어지지 않는다. 분류 비동기 방식 서버에서 질의값을 1회용(One-Time)으로 생성해서 보여준다. 사용자는 질의값을 OTP기기에 입력하고 반환값을 서버로 보낸다. 서버는 반환값을 검증한다. 동기 방식 1. 시간 동기화 현재 시간을 이용하여 난수를 생성한다. 서버 시간과 OTP기기에서 관리되는 시간이 일치해야 한다. 시간의 지속적 동기화가 어려우므로 보통 30초 정도 간격으로 생성한다. 현재 은행에서 사용하는 대부분의 OTP가 시간 동기화 방식이다. 2. 이벤트 동기화 서버와 OTP기기의 카운트값으로 난수를 생성한다. OTP기기에서 번호를 생성한 카운트와 서버상의 카운트가 똑같이 올라가야 한다. 기타 방식 1. 거래인증.. 2023. 5. 28.
정보보안기사 - 블루투스의 보안 취약점 구분 설명 블루프린팅(Blueprinting) 서비스 발견 프로토콜을 이용해 공격자는 공격이 가능한 블루투스 장치를 검색하고 모델을 확인 가능 블루스나핑(bluesnarfing) 블루투스의 취약점을 이용하여 장비의 임의 파일에 접근하는 공격 블루버깅(bluebugging) 공격 장치와 공격 대상 장치를 연결하여 공격 대상 장치에서 임의의 동작을 실행하는 공격 블루재킹(bluejacking) 블루투스를 이용해 스팸처럼 명함을 익명으로 퍼트리는 것 출처: 2023 알기사 정보보안기사(산업기사) 필기 요약집 2023. 5. 25.
웹 보안 - PHP 매직 해시(Magic Hashes) 취약점 타입 저글링(Type Juggling) PHP는 타입 강도가 약하기 때문에 상황에 따라 타입이 동적으로 변하게 되는데 이를 타입 저글링(Type Juggling)이라고 한다. 타입 캐스팅과 다른 점은 프로그래머가 명시적으로 지정 ex) (float) a 하는 것을 타입 캐스팅이고, 프로그래밍 언어가 자동적으로 변환해주는 것을 타입 저글링이라고 하는 것 같다. php > var_dump(5 * "2"); int(10) 정수형(int) 5와 문자형(string) 2를 연산시키면 정수형(int) 10이 반환된다. 마찬가지로 $a == $b를 비교할 때 또한 타입 저글링을 거치게 된다. php > var_dump('1234'==1234); bool(true) php > var_dump("123" == "123... 2023. 5. 24.
DreamHack - Robot Only 풀이 https://dreamhack.io/wargame/challenges/680/ Robot Only Description 로봇만 이용할 수 있는 도박장이에요. 로봇임을 인증하고 경기에서 이겨 플래그를 구매하세요! dreamhack.io 주요 함수 - verify() def verify(): global verified if verified is True: print('you have already been verified as a robot :]') return randn224 = (get_randn() | get_randn() ')) print('answer is [{0}]!'.format(answer)) if user_answer == answer: print('you earned ${0}.'.for.. 2023. 5. 24.
정보보안기사 - 공개키 기반 구조(PKI, Public Key Infrastructure) 1 개요 공개키 암호화 기술과 신뢰된 인증기관을 통해 인증서를 발행하고 전자서명, 부인방지 등의 기능을 제공하는 보안 체계 대표적인 사용 예로 공인인증서와 SSL이 있다. 둘 다 Server-Client, 또는 Peer-To-Peer끼리 자체적으로 암호화 키를 교환하지 않는다. 공인인증기관을 두고, 인증서를 기반으로 소통한다. RFC 2822에선 다음과 같이 정의한다. PKI는 공개키 암호화를 기초로, 인증서를 생성·관리·저장·분배·취소하는데 필요한 하드웨어, 소프트웨어, 사람, 정책, 절차이다. 2 구성 인증기관(CA, Certification Authority) 인증서 발행기관. 정책 승인기관(PAA), 정책 인증기관(PCA), 인증기관(CA) 인증서 폐지 목록(CRL)을 생성하는 주체 검증기관(VA.. 2023. 5. 23.
정보보안기사 - 전자 투표 전자 투표 기회와 위협 유권자의 투표 기회 확대, 투표 결과의 신속하고 정확한 확인이라는 장점이 있다. 유권자 인증과 투표 결과의 기밀성, 무결성 보장 등의 보안 위협이 존재한다. 요구 사항 정확성 비밀성 위조 불가능성 단일성 합법성 공정성 확인성 투표권 매매방지 완전성 전자 투표 방식 PSEV(Poll Site E-Voting) 특정 지역에 마련된 투표장에 나와서 전자적인 방식으로 투표한다. 선거인단이 직접 관리하므로 투표의 신뢰도가 높다. REV(Remote Internet E-Voting) 투표소에 가지 않고 공개된 인터넷 망에서 투표를 진행한다. 선거 관리가 어려우며 여러 가지 부정행위의 가능성 및 취약점이 있다. 키오스크(Kiosk) RSEV와 REV의 중간 정도 방식 길에 있는 ATM기기처럼 .. 2023. 5. 22.
정보보안기사 - 전자서명 전자서명 기본 개념 송신자의 개인키로 서명하고 송신자와 수신자가 모두 가지고 있는 공개키로 검증한다. 전자서명의 목적(기능) 3가지 무결성 인증 부인방지 전자서명의 조건 5가지 위조 불가 서명자 인증 부인 방지 변경 불가 재사용 불가 출처: https://itwiki.kr/w/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85 IT위키 IT에 관한 모든 지식. 함께 만들어가는 깨끗한 위키 itwiki.kr 2023. 5. 22.
파이썬 - 리눅스에서 GPT 명령어 사용하기 모듈 설치 pip install openai ~/dev/gpt.py import openai import sys openai.api_key = "자신의 API 토큰을 여기에 입력" messages = [ {"role": "system", "content": "You are a helpful assistant."}, ] def request(text:str): global messages if len(messages) >= 30: messages = messages[-10:] query = text messages.append({"role": "user", "content": query}) response = openai.ChatCompletion.create( model="gpt-3.5-turbo", m.. 2023. 5. 22.
리눅스 - WSL 2, Docker, VirtualBox 함께 사용 (Hyper-V 비활성화) WSL 2, VirtualBox 동시에 사용 인증 방법 Hyper-V "비활성화" 가상 머신 플랫폼 "활성화" 이후 컴퓨터 재부팅 Docker Hpyer-V 없이 사용 Docker 실행시 Hyper-V가 비활성화된 대신 WSL 2 기반으로 실행하냐는 메시지가 뜨면 "Switch to WSL 2" 클릭하거나 Settings - General - Use the WSL 2 based engine 체크 2023. 5. 22.
다크웹 - 해커, 크래커 관련 포럼 모음 https://www.osintme.com/index.php/2022/07/14/list-of-60-hacker-cracker-carder-cyber-criminal-forums-for-investigators/ List of 100+ hacker, cracker, carder & cyber criminal forums for investigators – osintme.comAny self-respecting threat intelligence analyst or cybercrime investigator out there knows the importance of monitoring certain online forums for signs of trouble, from data breaches, lea.. 2023. 5. 22.
정보보안기사 - 메시지 인증 코드(MAC, Message Authentication Code) 목적 메시지의 무결성과 메시지 인증 생성 방법 해시(메시지+암호키) 주로 해시를 이용하지만 대칭키 암호화 알고리즘을 사용하기도 함 해시를 이용한 메시지 인증 코드를 HMAC이라고 부름 사용 사례 SWIFT, IPSec, SSL/TLS, VPN 취약점 1. 재전송 공격 공격 시나리오 A가 B에게 보내는 메시지를 가로채 그 메시지와 메시지 인증 코드를 그대로 전송 가능 해결방안 순서 번호(sequence number): 송신 메시지에 매회 1씩 증가하는 순서 번호를 함께 전달 타임스탬프(timestamp): 송신 메시지에 현재 시간을 함께 전달 비표(nonce): 메시지를 수신하기에 앞서 수신자는 송신자에게 일회용 랜덤 한 값(비표) 전달 2. 부인 방지 불가 공격 시나리오 A가 B에게 결제 요청을 한 적이.. 2023. 5. 22.
728x90

티스토리툴바