2019/08

========= `추가 (2020-08-10)` ======== 이 공격에 좀 더 공부를 해서 portswigger 문서를 번역한 pdf 파일을 공유한다. 글 본문의 내용과 비슷하지만 아래 PDF 문서를 보는 것을 추천한다. 아래 번역글은 portswigger에서 얻은 자료들을 바탕으로 만들어 졌다. 입문: HTTP Request Smuggling 이란 HTTP Request Smugging vulnerability test HTTP Request Smugging Exploit `Exploit using python` python 으로 http request smuggling tool 만들기 소스 코드는 github 에서 볼 수 있으니 참고 바란다. 모든 기능은 완성되지 않았지만, 사용하는데 문제는 없..

산업 디바이스, 스마트 IoT 디바이스, 랩탑, 스마트폰을 포함한 블루투스가 탑제된 수십억대 디바이스는 공격자가 두대의 디바이스 사이에 전송된 데이터를 감시하도록 할 수 있는 매우 심각한 취약점이 발견되었다. CVE-2019-9506이라고 불리는 이 취약점은 '암호화 키 협상 프로토콜'이 두대의 장비에 보안 연결을 할때 두대의 블루투스 BR/EDR 디바이스가 암호화 키를 위한 앤트로피 값을 선택하는 방식에서 나타난다. Key Negotiation of Bluetooth(KNOB) 공격이라고 불리는 이 취약점은 원격 공격자가 가까운 거리에서 타겟 디바이스에게 연결된 두 디바이스 사이에 암호화된 블루투스 트래픽을 조작하거나 감시하거나 가로채는 것이 가능하다. 블루투스 BR/EDR(Basic Rate/Enha..

출처 : https://nicewoong.github.io/development/2017/10/09/basic-usage-for-docker/ [Docker] Docker 기본 사용법 정리 - nicewoong Docker 사용법 (Linux에서) Reference 를 보고 직접 따라해본 것을 정리한 내용입니다. Docker 다운받기 curl -s https://get.docker.com/ | sudo sh Docker 사용 권한 주기 docker 는 기본적으로 root 권한이 필요로 되어있다고 함. sudo 명령어 없이 docker를 이요하고 싶다면 아래 커맨드로 사용자에게 권한을 줍시다. sudo usermod -aG docker your-user 그리고나서 nicewoong.github.io 옵션 ..

출처: https://www.boannews.com/media/view.asp?idx=81991 [주말판] 이번 블랙햇을 통해 공개될 무료 툴 8가지 전 세계 보안 전문가들이 여름만 되면 가장 기다리는 행사인 블랙햇(Black Hat)과 데프콘(DEF CON)이 코앞으로 바짝 다가왔다. 두 행사가 기다려지는 이유는 새로운 기술들이 대거 발표되기 때문이다. 그런 기술들과 함께 전에 없던 무료 툴들이 공개되는 것도 나름의 전통으로 자리 잡았다. 이번 주 주말판은 올해 블랙햇을 통해 발표될 무료 툴들에 대해 알아보았다. www.boannews.com 1. 피봇스위트(PivotSuite) 레드 팀을 위한 네트워크 피보팅(pivoting) 툴킷이다. 네트워크 피보팅이란 요즘 대유행하는 공격 기술로, 작은 틈새와 ..

근무 시간에도 친구와 톡을 하기 위해 web chatting with telegram bot 을 개발 했었다. 그런데 telegram api를 사용하면 date 값이 unix timestamp 형태로 온다. 이를 변환하기 위해 아래 javascript 코드로 변환을 시켜준다. function unixTimeConvert(unix_timeStamp){ var myDate = new Date( unix_timeStamp *1000); document.write(myDate.toGMTString()+" "+myDate.toLocaleString()); } 다음과 같이 출력이 되는 것을 볼 수 있다.