어셈블리어 기계어와 대응되는 로우 레벨 언어이다. 컴파일이 빠르고 유지보수가 힘들어 거의 사용되지 않지만 하드웨어 디버깅을 할 때 유용하게 사용됨. 레지스터 소량의 데이터, 처리중인 중간결과를 일시적으로 기억해두는 고속의 저장영역이다. CPU는 자체 저장 기능이 없는데, 이를 보완하는 역할을 한다. 32비트는 E(AX) 64비트는 R(AX)와 같이 표현된다. Intel과 AT&T문법이 존재하며, 둘은 호환되지 않는다. Intel : 뒤에서 앞으로, 숫자를 그대로 사용, 명칭 그대로를 사용 AT&T : 앞에서 뒤로, 숫자 앞에 $를 붙여서 사용, 명칭 앞에 %를 붙임 !! 단순히 계산한 값은 동일하지만 저장되는 레지스터가 달라져 이후 계산 시 결과가 달라짐 범용 레지스터 EAX 사칙연산 등 산술에 사용되고..

기사 요약 요즘 세상을 뜨겁게 달구고 있는 ChatGPT. 대기업은 사내에서 ChatGPT 사용에 대한 여부를 두고 고민에 빠졌다. ChatGPT특성상 데이터가 입력이 되면 외부 서버에 저장이 된다. 그리고 계속 학습을 해나가기 때문에 잘못했다가 사내의 기밀 정보에 대한 이야기가 흘러 들어갈 수 있다. 예를 들면 ChatGPT에게 기업의 기밀정보를 주고 더 좋은 방안에 대해 이야기 할때 누군가가 그 기업에 기밀정보에 대해 묻는다면 ChatGPT는 스스럼 없이 답을 해주게 된다. LG전자는 ChatGPT 사용에 대해 딱히 제안을 두지 않았다고 하지만 SK하이닉스, 삼성전자는 사용을 금지했다. 더불어 얘기하자면 삼성전자에서는 ChatGPT를 사용한 직원을 해고하기도 했다. 느낀점 ChatGPT 등장 이후 사..

기사 요약 2달 전 북한에서 네이버 포털 사이트를 실시간으로 복제한 피싱사이트를 만들어 해킹을 시도한 정황이 포착되었다. 북한은 정말 교묘하게 네이버 주소 뒤에 potal을 붙여서 naverpotal.com으로 지정해두었다. 접속해볼까도 싶었지만 해킹당할까 무서워 접속해보진 않았다.(나는 쫄보...)뉴스에 따르면 뉴스, 배너, 검색 탭 부분 모두 다 똑같이 코딩되어있다고 한다. 저렇게 똑같은데 해킹 당할 위험이 뭐가 있겠냐 싶겠지만, 핵심적인 문제는 로그인에 있다. 북한에서는 로그인하면서 넘어오는 사용자 정보를 탈취할 계획이었던 것이다. 놀랍게도 저 사이트에서 로그인도 된다고 한다. 국가정보원(이하 국정원)에서는 개인정보 탈취 가능성을 높이기 위해 해킹 공격 수법을 진화시킨 것이라고 한다. 또 현재 국정..

Buffer Overflow 데이터를 버퍼에 저장할 때 개발자가 의도한 크기를 넘어서 값을 넣는 방식이다. 그럼 버퍼 데이터가 초과하고, 초과된 데이터는 인접 메모리에 영향을 미친다. 이때 제어 관련 구문도 포함될 수 있다. 프로그램의 실행 흐름을 바꿔 특정 코드가 실행되게 한다. 해결 방안 입력 값의 타입 확인 입력 값의 길이 확인 용어 정리 Stack Frame 모든 함수가 호출될 때 할당되는 자신만의 스택 공간이다. SFP: Stack Frame Pointer 이전 함수의 Stack Frame Pointer를 저장하는 영역이다. Stack Pointer의 기준점이 된다. SP: Stack Pointer SFP를 기준점으로 해서, 상대 주소 offset 을 저장해 메모리에 접근한다. RET: Retu..

시스템 해킹 관리자 권한을 손 안에 넣는것이 목적이다. root 권한을 얻게 되면 서버를 쥐락펴락 할 수 있기 때문에, 시스템 해킹은 root 권한을 어떻게든 가져보겠다고 시도하는 것을 말한다. (궁극적인 목적임) 리모트 해킹 Remote Hacking 해킹하고자 하는 서버에 아이디를 가지고 있지 않을 대, 아이디를 얻고자 시도하는 것을 말한다. 로컬 해킹 Local Hacking 해킹하고자 하는 서버에 일반 계정을 가지고 있을 때, root 권한을 얻기 위해 시도하는 것을 말한다. 리모트 해킹을 성공해서 한 아이디를 손에 넣더라도, 별로 할 수 있는 것이 없기 때문에 바로 로컬 해킹을 하게 된다. 로컬 해킹의 원리 SetUID이다.일시적으로 자신의 ID를 변경하는 것 해킹 실습 로컬 해킹의 프로세스는 ..

SQL Injection 말그대로 sql을 삽입하는 취약점으로, 클라이언트 측에서 SQL 쿼리에 신뢰할 수 없는 데이터가 입력되었을 때, 데이터가 쿼리 로직의 일부로 해석되어 DB에서 실행될 때 발생한다. 주로 사용자가 입력한 데이터를 제대로 필터링, 이스케이핑 하지 못했을 경우에 발생한다. 거의 모든 데이터베이스 엔진은 유저 입력이 의도치 않은 동작을 하는 것을 방지하기 위해 escape 함수와 prepared statement를 제공한다. 문제를 확인해보자. 로그인 서비스에서 SQL Injection 취약점을 통해 FLAG를 획득하라고 한다. 한 번 접속해보자. 대문짝만하지 않게 Login 링크가 걸려있다. 클릭해보자. 우리는 여기에서 admin/admin을 테스트해보지 않을 수 있다. 가슴이 시키기..

CSRF 공격기법 크로스 사이트 요청 위조 공격 (CSRF: cross site request forgery attack) ▪XSS 와 유사하게 활용 가능 ▪XSS 와 차이 -> XSS는 특정 사이트를 신뢰하는 정책을 이용한 코드 삽입하여 사용자가 script 실행 -> CSRF는 특정 인증된 사용자의 요청을 신뢰하는 정책을 이용해 script 요청을 서버에서 실행시킴. 공격 경로 예시 공격자가 시스템 관리자에게 스크립트가 포함된 메일 전송 ▪인증된 세션을 가지고 있는 관리자가 메일을 읽음. ▪브라우저에서 인증된 세션과 함께 악성 스크립트가 실행. ▪관리자 세션 탈취 성공. 실습 입력받은 URL을 확인하는 봇이 구현된 서비스에서 CSRF 취약점을 이용한 FLAG 획득 문제이다. 문제는 여기있다. csrf..

우리가 웹사이트에 가입할 때 보안을 위해 비밀번호를 생성한다. 비밀번호 입력란을 보면 조건이 나와있는 경우가 대부분이다. 가령 이렇게 말이다.비밀번호는 사용자의 정보를 보호하는 강력한 역할을 하기 때문에 단순하게 설정하지 않는 것이 매우 중요하다. 또 개발자는 사용자의 비밀번호를 암호화해서 저장하는 것도 굉장히 중요하다. 단순하게 설정했다간 당신의 정보가 다 털릴 수 있음을 기억해야한다. 당신의 비밀번호를 알아낼 수 있는 방법세 가지의 방법이있다. 우선 첫 번째 웹 프록시 툴을 사용하여 웹을 해킹할 수 있다.Web Proxy웹 프록시는 클라이언트에 설치하여 클라이언트의 통제를 받으므로 클라이언트가 웹 서버와 우베 브라우저 간에 전달되는 모든 HTTP 패킷을 웹 프록시로 확인 및 수정할 수 있다. Prox..

🚨 본 글은 필자의 정보보안 수업을 들을 후 정리한 내용입니다 :) 지난시간에 보았듯이 우리에게 얼마나 보안이 중요한지에 대해 이야기 해보았다. 그래서 오늘은 실제로 우리의 정보가 얼마나 인터넷에 널려(?)있는지 확인해보려고 한다. 그 전에 조금더 이해를 높이기 위한 몇 가지를 알아보자. 인터넷의 시작 1969년 미국 ARPA(Advanced Research Projects Agency)가 전 세계 주요 거점을 연결 하는 네트워크를 처음 만들고 이 네트워크를 알파넷이라 불렀다. 흔히 알파넷을 인터넷의 시작이라고 한다. 인터넷을 만든 목적은 정보를 편하게 고유하기 위함인데, 처음에는 대학 내 각 연구실 사이에 데이터를 전송하기 위해 시스템 간의 통신을 위한 프로토콜(통신에 대한 약속)을 만들어 사용하였다...

🚨 본 글은 필자가 정보보안 수업을 들은 후 정리한 생각을 풀어낸 글입니다 :) 요즘 보안은 정말 다양한 곳에서 쓰이고 있다. 작게는 우리가 사용하는 휴대폰 부터 크게는 우리가 생활하는 집까지. 정보화 시대가 되면서 보안의 역할이 더 중요해졌다. 보안은 사회 안전과 질서를 유지하는 것을 목표로 하기 때문에 다양한 분야에서 일하며, 경찰, 소방관, 군인 등이 있다. 보안인이라 함은 사회 질서 유지에 기여하는 사람으로, 다양한 위협에 대응하고 사회의 안전과 질서를 보호하는 역할을 수행한다.  보안 철학 & 보안인보안인은 기본적으로 "보안 철학"을 가지고 있다. 보안 철학이란, 안전과 질서를 유지하는 데 집중하는 보안과 개인의 경험과 신념에 기반한 철학적 원리를 결합한 개념이다. 그 중 현대 시대에 가장 중..