2019/08
Paypal에서 발견된 HTTP Request Smuggling 설명 및 예제
Paypal에서 발견된 HTTP Request Smuggling 설명 및 예제
2019.08.30========= `추가 (2020-08-10)` ======== 이 공격에 좀 더 공부를 해서 portswigger 문서를 번역한 pdf 파일을 공유한다. 글 본문의 내용과 비슷하지만 아래 PDF 문서를 보는 것을 추천한다. 아래 번역글은 portswigger에서 얻은 자료들을 바탕으로 만들어 졌다. 입문: HTTP Request Smuggling 이란 HTTP Request Smugging vulnerability test HTTP Request Smugging Exploit `Exploit using python` python 으로 http request smuggling tool 만들기 소스 코드는 github 에서 볼 수 있으니 참고 바란다. 모든 기능은 완성되지 않았지만, 사용하는데 문제는 없..
공격자가 암호화된 연결을 감시 할 수 있는 새로운 블루투스 취약점
공격자가 암호화된 연결을 감시 할 수 있는 새로운 블루투스 취약점
2019.08.22산업 디바이스, 스마트 IoT 디바이스, 랩탑, 스마트폰을 포함한 블루투스가 탑제된 수십억대 디바이스는 공격자가 두대의 디바이스 사이에 전송된 데이터를 감시하도록 할 수 있는 매우 심각한 취약점이 발견되었다. CVE-2019-9506이라고 불리는 이 취약점은 '암호화 키 협상 프로토콜'이 두대의 장비에 보안 연결을 할때 두대의 블루투스 BR/EDR 디바이스가 암호화 키를 위한 앤트로피 값을 선택하는 방식에서 나타난다. Key Negotiation of Bluetooth(KNOB) 공격이라고 불리는 이 취약점은 원격 공격자가 가까운 거리에서 타겟 디바이스에게 연결된 두 디바이스 사이에 암호화된 블루투스 트래픽을 조작하거나 감시하거나 가로채는 것이 가능하다. 블루투스 BR/EDR(Basic Rate/Enha..
[Docker] - 기본 명령어 사용법
[Docker] - 기본 명령어 사용법
2019.08.10출처 : https://nicewoong.github.io/development/2017/10/09/basic-usage-for-docker/ [Docker] Docker 기본 사용법 정리 - nicewoong Docker 사용법 (Linux에서) Reference 를 보고 직접 따라해본 것을 정리한 내용입니다. Docker 다운받기 curl -s https://get.docker.com/ | sudo sh Docker 사용 권한 주기 docker 는 기본적으로 root 권한이 필요로 되어있다고 함. sudo 명령어 없이 docker를 이요하고 싶다면 아래 커맨드로 사용자에게 권한을 줍시다. sudo usermod -aG docker your-user 그리고나서 nicewoong.github.io 옵션 ..
[보안뉴스] - 이번 블랙햇을 통해 공개될 무료 툴 8가지
[보안뉴스] - 이번 블랙햇을 통해 공개될 무료 툴 8가지
2019.08.09출처: https://www.boannews.com/media/view.asp?idx=81991 [주말판] 이번 블랙햇을 통해 공개될 무료 툴 8가지 전 세계 보안 전문가들이 여름만 되면 가장 기다리는 행사인 블랙햇(Black Hat)과 데프콘(DEF CON)이 코앞으로 바짝 다가왔다. 두 행사가 기다려지는 이유는 새로운 기술들이 대거 발표되기 때문이다. 그런 기술들과 함께 전에 없던 무료 툴들이 공개되는 것도 나름의 전통으로 자리 잡았다. 이번 주 주말판은 올해 블랙햇을 통해 발표될 무료 툴들에 대해 알아보았다. www.boannews.com 1. 피봇스위트(PivotSuite) 레드 팀을 위한 네트워크 피보팅(pivoting) 툴킷이다. 네트워크 피보팅이란 요즘 대유행하는 공격 기술로, 작은 틈새와 ..
[web] - javascript로 unix timestamp 변환하기
[web] - javascript로 unix timestamp 변환하기
2019.08.07근무 시간에도 친구와 톡을 하기 위해 web chatting with telegram bot 을 개발 했었다. 그런데 telegram api를 사용하면 date 값이 unix timestamp 형태로 온다. 이를 변환하기 위해 아래 javascript 코드로 변환을 시켜준다. function unixTimeConvert(unix_timeStamp){ var myDate = new Date( unix_timeStamp *1000); document.write(myDate.toGMTString()+" "+myDate.toLocaleString()); } 다음과 같이 출력이 되는 것을 볼 수 있다.