본문 바로가기

Let's Study

보안점검을 위한 체크리스트에 대하여(2) 요즘 책 집필, 출판을 위해 이것저것 알아보고 사전 작업을 하느라 정신없었던 것 같다. (제가 글을 잘 못 써가지고..ㅋㅋㅋ 출판사에 샘플원고 투고하기 전에 미리 책 내용을 다 채워놓으려구요.. ㅠ) 오늘은 살짝 여유로우니 보안점검을 위한 체크리스트에 대해 이어서 써보려고 한다. 글에서 최종적으로 말하고자 하는 바를 요약하자면, "대학원에서 배우고 연구한 '체크리스트'와 실제 기관, 기업 등에서 연구하고 사용하는 '체크리스트'는 어떤 차이가 있을까?" 얘기하고 싶은게 많다보니 시리즈별로 내용을 구분하고자 한다. '보안점검을 위한 체크리스트에 대하여(1)' 에서는 대학원에서 연구한 AI 스피커의 체크리스트에 관한 내용을 다루겠다. '보안점검을 위한 체크리스트에 대하여(2)' 에서는 기업의 체크리스트와 대학.. 더보기
보안점검을 위한 체크리스트에 대하여(1) 정신없는 10월을 보내고 일이 좀 여유로워지는 느낌이 드니, 주말에 글을 끄적일 여유도 생겼다. 여유로움은 개뿔.. ㅠㅠ 현재(11.24)까지 바빠서, 매일 야근에 주말출근해서 계속 일했다 ㅠㅠㅠ... .. 이 글에서는 보안점검을 위한 체크리스트에 대해 얘기하고자 한다. 글에서 최종적으로 말하고자 하는 바를 요약하자면, "대학원에서 배우고 연구한 '체크리스트'와 실제 기관, 기업 등에서 연구하고 사용하는 '체크리스트'는 어떤 차이가 있을까?" 얘기하고 싶은게 많다보니 시리즈별로 내용을 구분하고자 한다. '보안점검을 위한 체크리스트에 대하여(1)' 에서는 대학원에서 연구한 AI 스피커의 체크리스트에 관한 내용을 다루겠다. '보안점검을 위한 체크리스트에 대하여(2)' 에서는 기업의 체크리스트와 대학원에서 연.. 더보기
TypeError: Unicode-objects must be encoded before hashing python3에서 import hashlib의 hashlib.sha256 함수를 이용하는 중에 "TypeError: Unicode-objects must be encoded before hashing " 이런 에러가 뜨는 경우가 있는데, 이는 hashlib 사용 시 byte 형태가 필요해서 에러가 생긴다. python3의 문자열은 기본적으로 unicode이며, 문제 해결을 위해 encode('utf-8')을 붙여주면 된다. 예시코드: string = "test" hashlib.sha256(string.encode('utf-8')).hexdigest() 더보기
[잠깐메모..] ubertooth-one, gattacker를 이용한 블루투스 해킹 오랜만에 글씁니다. 블로그 관리할 시간이 나질 않네요.. ㅜㅠ 여러분이 댓글 남겨주신거 정성스럽게 답글 남겨드리고는 싶은데 상황이 여의치 않아요 '-'.. 아마존 에코 취약점분석 중인데, 결과가 좋으면 여기에도 꼭 공유하도록 하겠습니다. 아래 메모한 건 다음에 더 예쁘고 자세하게 써놓을게요. 지금은 급하게 메모한 것만 갈겨놓겠습니다. BLE 해킹 환경 세팅하기 환경세팅한 OS : 우분투 14.04 64bit 참고사이트 : https://blog.attify.com/hacking-bluetooth-low-energy —> 블루투스 해킹을 스텝 별로 나누어 설명 https://nodejs.org/en/download/package-manager/#debian-and-ubuntu-based-linux-dist.. 더보기
[Linux] colorscheme molokai 세팅 제 티스토리에 있는 powerline, peda, ohmyzsh의 agnoster 테마, colorscheme 등을 적용하시면 이렇게 됩니다.터미널은 그냥 편하신대로 설정하시면 되고요. 근데 colorscheme 의 molokai는 그냥 vim74의 color에 복붙해서 갖다쓰기만 하면 적용이 안되므로 방법을 알려드리겠습니다. 우선 이걸 받아서 사용할 우분투의 /usr/share/vim/vim74/colors에 복사합니다. 그 후, cd ..;cd .. 로 /usr/share/vim 폴더로 이동하시고 vim vimrc로 vimrc를 켜서 이걸 그대로 적어주시면 됩니다. colorscheme molokaiset t_Co=256let g:molokai_original = 1 더보기
[Linux] vim powerline 설정하는 방법 -- INSERT -- 위에 라인이 powerline입니다.예쁘기도 하고 유용해요. 어느 분의 블로그에서 긁어온 방법이라 이렇게 긁어오기도 죄송하지만.. ㅠ 다음에 제가 리눅스 분석할 환경 설정할 때 개인적으로 읽을 글이기도 하고..이런 글 찾는 분도 많으실 것 같아서 명령어 부분만 긁어왔습니다. (작성자님 죄송합니다 ㅠ) 출처 : http://humb1ec0ding.github.io/2013/11/26/ubuntu-powerline-beautify-the-stateline.html여기로 들어가시면 아주 자세하게 그림으로 나와있어요. 자세한 설명 보고싶으시면 여기로 들어가셔서 보시면 되요. sudo apt-get install python-pip git 파이썬 2.7이나 3.3이 필요하다고 해서 일단 설.. 더보기
8. Core Dump Analysis ( gdb ) 강의 중 코어 덤프를 이용해 분석하는 방법을 알고 싶다는 분이 계셔서 저도 한번 공부해볼겸, gdb를 이용한 Core Dump 분석방법을 포스팅합니다. 이 강의는 거의 그림으로 대체될 것 같은 느낌이 물씬 드네요 ㅋㅋㅋ;gdb 외에도 objdump로 분석하는 방법이 있지만, 아직 제가 거기까지는 공부 못했네요. 이 글 마저 포스팅하고 공부한 뒤 추가로 올리겠습니다. 그러합니다. 제가 크기가 작은 바이너리를 분석해서 where이나 backtrace를 했을 때에 저런 결과만 나왔는데, 크기가 큰 바이너리를 분석할 때, 각 frame 별로 (#0, #1, #2 ...) 정보를 확인할 수 있습니다. frame 0, frame 1, frame 2처럼 명령어를 적어주시면 그 프레임에 관련된 정보가 출력됩니다. 이 .. 더보기
7. Use After Free (uaf, uaf.c 바이너리, 코드 요청하셔서 올려드립니다.) 8번째 강의는 Use After Free입니다. 말 그대로 사용한 후 해제했을 때 취약점이 일어날 수 있습니다. 정확히는 heap space에서 alloc된 공간을 free하고 reuse할 때에 일어날 수 있는 취약점입니다. 이 use after free는 browser exploit을 할 때에 자주 쓰이는 기법인데 heap spray와 병행해서 사용합니다. 여튼, use after free에 대해 간단한 원리정도? 설명하도록 하겠습니다. 1. Heap? use and free 스택과 힙은 이런 특성을 가지고 있습니다. 스택은 정적으로 할당되기 때문에 컴파일 시 미리 스택에 공간이 할당되어 있습니다. 그렇기 때문에 스택에 생성될 배열 사이즈.. 더보기
6. Return Oriented Programming (ROP) 6. python programming 관련 동영상입니다. 설명은 생략하도록 할게요. 필요하신 분은 참고하세요! python 바이너리 사용법은 ./python [port] 입니다. 7. ROP 6은 건너뛰고 왜 7이냐면, 중간에 python basic programming 이 있었지만 설명할 게 별로 없으므로 넘어가기로 했습니다. 이번 7번째 강의시간은 Return Oriented Programming을 배워보도록 합니다. 이 기법은 리얼월드에서도 자주 쓰이는 기법으로 , 아직까지 ROP를 막는 방법이 연구되지 않았습니다. ROP(Return Oriented Programming)는 현재 수행중인 프로그램 코드 안에 존재하는 서브루틴이 리턴 명령어에 닿기 전에 선별된 기계 명령어 또는 기계 명령어 덩어리.. 더보기
리스트의 문자열을 int 형태로 변환 list_a = ['1', '2', '3', '4'] -> list_a = [1, 2, 3, 4] 로 바꾸고 싶을 때, python 2. list_a = map(int, list_a) python 3. list_a = list(map(int, list_a)) 를 해주면 된다. 혹은 list_a = [int (i) for i in list_a] 더보기