보안일기

https://dreamhack.io/wargame/challenges/647 video_in_video한가위 비디오를 찾아주세요... 참고: flag형식은 BISC{}이니 찾은 비디오에 bisc{}로 나와있으면 BISC{}로 바꿔주세요dreamhack.io  한가위 비디오를 찾아주세요... 참고: flag형식은 BISC{}이니 찾은 비디오에 bisc{}로 나와있으면 BISC{}로 바꿔주세요이런 jpg 파일이 나왔습니다. 1280*720인것을 보아 뭔가 비디오 사이즈 같으니 파일변환 사이트에서 비디오로 돌려보자는 생각을 1차적으로 하였어요 jpg to mp4 : 뭐 없음jpg to wav : kas79라는 음성이 나옴 -> 아직도 의문 이거 왜나왔을까-> 음 이 방향성은 아니구나!하고 바로 HxD 켰습니..

https://dreamhack.io/wargame/challenges/1362 혹시 자동차🚗 해킹에 관심 있으신가요?자동차의 CAN과 통신해서 얻은 파일을 통해 어떤 자동차인지 알아내세요!플래그 형식 : DH{[연도][제조사][모델명]}예를 들어, 차량이 "2014, Hyundai, Sonata"인 경우,플래그는 DH{2014_Hyundai_Sonata}가 됩니다.참고 자료 UDS protocol : https://piembsystech.com/data-identifiers-did-of-uds-protocol-iso-14229 문제에서 제시한 참고자료를 보니 자동차와 관련된 무언가겠구나.. 자동차 진단에 이용하는 프로토콜인가보다.. 요정도로 간단하게 이해해주었습니다 문제 파일을 메모장으로 열어보니 이..

안녕하세요!최근에 AES, DES 블럭암호 설명한 김에 운영모드 공부한 것도 정리하면 좋을 것 같아서 포스팅 합니다  운영모드란?블럭 암호를 이용할때 하나의 키를 가지고 반복적으로 블록 암호를 운용할 수 있는 방법을 말합니다.암호화 하려는 데이터가 단순히 64비트, 128비트라면 편하겠지만 일반적으로는 더 길고 더 큰 크기의 평문을암호화 합니다. 즉 나눠지는 블럭이 여러개인 경우인 것이죠여러개의 블록을 어떻게 하나의 키로 안전하게 암호화할까?라는 고민에서 출발된 것이 운영모드라고 생각하면 될 것 같습니다!  ECB모드 (Electronic CodeBook)ECB는 블럭이 독립적으로 돌아가는 형태의 운영모드입니다.접근이 쉽고 암복호화 병렬이 가능합니다.이때 병렬이라는 것은 동시에 암복호화를 할 수 있는 것..

안녕하세요 오늘은 보다 강력한 블럭암호인 AES에 대해서 알아보겠습니다.https://nvlpubs.nist.gov/nistpubs/fips/nist.fips.197.pdf  AES란 ?Advanced Encryption Standard의 약어로 DES를 대체하기 위한 목적으로 개발되었습니다.DES는 2의 56승 키에 대한 전사적 공격이 가능했기 때문이죠AES는 Nonlinearity(비선형성)을 가진 암호로, 보수 특성과 취약키가 존재하지 않습니다.블럭사이즈는 128비트를 채택하고 128, 192, 256비트의 세 가지 종류의 키를 사용합니다.당연하게도 키 길이에 따라 round 수가 달라지게 됩니다.  AES 원리AES의 작동 과정에 대해 자세히 알아보겠습니다.AES는 키 길이에 따라 round수가 ..

안녕하세요!오늘은 컴활 1급 필기 후기를 적어보고자 합니다.  컴활 너도나도 열심히 따기도 하고, 어디 사무알바 지원하려고 하면"컴활있나요?"이렇게 물어봐서 주춤거렸던 경험이 좀 있거든요그래서 방학을 맞이해서 한번 따보자! 다짐하고 우선 필기 접수를 했습니다.  필기 접수 방법 및 자격 컴퓨터 활용 능력은 대한상공회의에서 회원가입 후 신청 가능합니다!https://license.korcham.net/ 대한상공회의소 자격평가사업단 license.korcham.net! 자격 요건 !제한 없음(단, 실기 시험은 필기 합격 후 2년 이내 있는 실기 시험 응시 가능)  특히 컴활은 상시시험이고, 시험결과도 다음날 오전 10시로 바로바로 나오는 편이라 준비되는대로 응시할 수 있다는 점이 장점입니다!공무원, 소방 공..

안녕하세요. 오늘은 블럭암호, 그중에서도 DES에 대해 공부해보겠습니다. https://csrc.nist.gov/files/pubs/fips/46-3/final/docs/fips46-3.pdf위의 페이퍼를 기반으로 작성했고, 이해하는데 도움이 되실거라 생각합니다!DES 개요 Data Encryption Standard의 약어로 데이터 암호화 표준을 이야기 하는 블럭암호입니다. 1970년대에 개발한 암호로, 한 블럭 단위는 64비트로 지정되어 있습니다. 암호화 키는 64비트(56비트와 패리티비트 8비트)를 이용합니다.현재는 DES 암호를 깨는 방법이 발견되어 DES를 보안 용도로 사용하기에는 취약하다고 평가받고 있습니다.  DES 원리 간단하게 말하자면 DES는 64비트의 평문 블럭을 입력받은 키 블럭(6..

2024년 6월~8월경 진행했던 2024 구글 클라우드 스터디잼 제미나이 과정 후기입니다.참여할 당시에도 이게 어떤지 후기가 많지는 않았어서.. 궁금하신 분들이 있을 것 같아서 적어봅니다우선 참여 당시 저는 2학년 관련 전공 학부생이었고, 클라우드와 AI는 거의 모르는 상태에서 진행했습니다 https://sites.google.com/view/2024-study-jams/gemini 2024 구글 스터디잼 - Gemini구글 클라우드 스터디잼 제미나이(Gemini) 과정sites.google.com 트랙 소개완전 개발 !! AI !! 코딩 !! 이런 느낌이라기 보다는 구글에서 개발한 제미나이를 Gmail, Google Docs, Google Slides 등 Google Workspace 환경에서 어떻게 ..

안녕하세요. 오늘은 Sniffing(스니핑), Spoofing(스푸핑)에 대해서 알아보고 전공 수업에서 실습했던 SEEDLabs를 기반으로 스니핑, 스푸핑 실습을 해보겠습니다. Sniffing이란?네트워크 상에서 흐르고, 이동하는 데이터 조각들을 패킷이라고 합니다. 이런 데이터(패킷)들의 흐름을 몰래 감청, 도청하는 것을 말합니다. 패킷에 담긴 비밀번호, 이메일 등 민감 정보를 알아내는 것을 목적으로 합니다. 이러한 스니핑에는 크게 두 가지 종류가 있습니다Active Packet Sniffing : 주로 스위치를 이용한 능동적인 방식의 Sniffing을 말합니다. 스위치는 브로드캐스트 방식이 아니기 때문에 다른 포트에서 발생하는 패킷을 보는 것이 불가능합니다. 따라서 ARP Cache Poisoning ..

오늘은 CrossSite Request Forgery(CSRF, 사이트간 요청 위조)에 대해 알아보도록 하겠습니다 Cross Site Request Forgery, 사이트간 요청 위조란?특정 웹사이트에 사용자의 의도와는 무관하게 HTTP request를 요청, 위조하는 것을 말합니다.Same Site request일 경우에는 문제가 되지 않지만 Cross Site Request일 경우 인증되지 않은, 사용자가 의도하지 않은 제3자에게 쿠키를 노출시킬 위험이 있어서 상당히 위험합니다.즉, CSRF는 브라우저가 (어떠한 보안설정이 없는 경우) 자동으로 쿠키를 첨부한다는 점을 악용한 공격입니다.간단한 예시로, 사용자가 요청하지 않았음에도 인증 정보가 도용되어 인터넷 뱅킹 출금이 된다거나허락하지 않은 사용자의 ..

해시함수란?임의의 사이즈를 가진 데이터를 고정된 사이즈로 매핑하는 함수를 의미합니다.One-way Hash : hash(m)=h 일때, h를 보고 m을 찾기 힘든 구조  해시함수의 성질제1역상저항성 : 해시값 h(x)을 알고있어도 원래의 입력값 x를 계산하기 어렵습니다제2역상저항성 : 해시값 h(x)가 주어졌을때 이와 동일한 해시값을 가지는 y를 찾기는 어렵습니다.충돌저항성 : 다른 입력 두개가 같은 해시값을 가지기는 어렵다는 성질입니다. 해시함수의 작동 과정IV는 Initial Vector를 의미하며 M1~M4는 일정 비트 단위마다 메세지를 쪼갠 것을 말합니다.해시를 위해서는 메세지가 일정 단위로 나누어 떨어져야 하므로 Padding을 추가할 수도 있습니다.이러한 방식을 Merkle–Damgård co..