목록전체 글 (28)

프리미의 공간

웹취약점은 CVE에서 인정하지 않는다.

계기 우연히 특정 웹서비스를 이용하다 취약점을 발견했다. clarivate라는 회사의 Web of Science 서비스에서 발견한 취약점이었다. poc를 작성하여 회사 고객센터로 연락하여 취약점을 제보하였다. 취약점 보고 후, CVE 넘버를 부여받기 위해 CVE 제출을 위해 양식을 작성하고 이메일 회신을 기다렸다. 하지만 아쉽게도 돌아온 회신은 다음과 같았다. 요약하자면 다음과 같다. CVE 넘버를 부여받기 위해서는 CNA에 등록된 기관의 프로그램이거나, 사용자가 제어가능한 프로그램이어야 한다는 것이다. CNA 기관이란? CNA 기관에 대해 CVE 공식 홈페이지(https://www.cve.org/ResourcesSupport/AllResources/CNARules)를 보면, 'CVE ID를 할당할 권한..
Security 2022. 4. 8. 22:09
docker 자주 쓰이는 명령어 모음

해당 폴더에 dockerfile이 있는 경우 빌드 sudo docker build -t knucse_notice_bot . 해당 이름의 컨테이너 실행 sudo docker run knucse_notice_bot 해당 컨테이너를 실행하고 종료 시 컨테이너 삭제 sudo docker run --rm -it ubuntu:16.04 /bin/bash exited된 컨테이너 모두 삭제 docker rm $(docker ps -a -f status=exited -q) -p 옵션으로 8888포트와 8080포트를 바인딩 docker run --rm -it -p 8888:8080 kertflight -d는 detach 모드, 백그라운드로 실행함 docker run -d redis 이미지 리스트 출력 docker imag..
Dev 2022. 1. 22. 11:53
과학기술전문사관 2021 밀리테크 챌린지 후기

필자는 과학기술전문사관 7기 후보생에 선발되었으며, 후보생 연구 역량 강화 프로그램의 일종으로 밀리테크 챌린지에 참여하였다. 주제 선정부터 연구 과정, 발표까지 전 과정에 대한 회고를 작성하고자 한다. 시작에 앞서 밀리테크 챌린지란 과학기술전문사관 후보생 기간 중 1회 이상 필수로 참여해야하는 연구 프로그램을 말한다. 2020년부터 시작했으며 2021년에는 육군사관학교 생도와 함께 연구팀을 꾸려 수행했다. 연구멘토로 카이스트 교수님 및 대학원생분들과 함께 연구를 수행하였다. 프로젝트 선정 밀리테크 챌린지 참여 공지를 받았고 프로젝트 목록을 받았는데, 6팀 중 4팀이 기계학습 관련 주제였다. 당시 컴퓨터공학을 공부하는 학생으로서 기계학습 관련 프로젝트에 참여할까 생각도 했었지만, 내가 쉽게 접하기 어려운 ..
후기 2022. 1. 4. 16:12
selenium 사용 팁

2021년 2학기동안 정보화본부의 IR센터에서 근로장학생으로 근무했는데, python의 selenium으로 웹 크롤링하는 역할을 맡아 프로그래밍을 수행했다. 여기서 배운 여러가지 경험 팁들이 있어 글로 남긴다. 크게 3가지를 꼽았는데, 특정 기술보다는 접근 방식에 대한 이야기를 주로 담았다. 1. jupyter notebook으로 개발 후 python script로 패포 우리가 selenium으로 접근해야 할 대상은 chrome, firefox와 같은 웹 브라우저이다. selenium의 특징은 웹 브라우저와 상호작용하며 직접 사람이 액션을 취하듯이 자동화할 수 있는 것이 장점이라고 생각한다. 하지만 파이썬 스크립트를 CLI 환경에서 실행하고 종료되면 브라우저에 추가적인 액션을 취할 수 없다. jupyte..
Dev 2021. 12. 8. 13:31
디지털에서 정당 방위, '보복 해킹'에 대한 시사점

본 글은 보안뉴스의 '잊을 만하면 다시 불붙는 ‘보복 해킹’ 합법화 논란' 기사와 '사이버 공간에서 디지털 자구행위 (Digital self-help) 법제도화를 위한 해킹백(Hacking Back)에 관한 소고' 논문을 읽고 느낀 점을 정리한 글임을 밝힌다. 본인의 정보나 계정 등 IT 자산이 해킹당한다면, 나를 해킹한 사람을 역으로 해킹할 수 있다면 얼마나 좋을지에 대한 상상을 해본 적이 있는가? 해당 행위는 타인인 공격자의 IT 자산을 해킹하는 것이기 때문에 과거 불법으로 규정되었지만, 정당방위적 행위의 경우 이제는 합법으로도 볼 여지가 생겼다. 국내의 이야기는 아니고, 미국의 Active Cyber Defense Certainty 라는 법 덕분에 미국에서는 가능한 이야기이다. 필자는 정보보안 공부..
생각 2021. 11. 15. 22:55
[Root-me] XSS - Stored 2

보호되어 있는 글입니다.
Security/Web 2021. 4. 5. 15:27
[Root Me] XSS - Stored 1 풀이

보호되어 있는 글입니다.
Security/Web 2021. 3. 22. 13:23
[Dreamhack CTF] mongoboard 문제 풀이

보호되어 있는 글입니다.
Security/Web 2021. 3. 14. 14:31
이전 Prev 1 2 3 4 Next 다음