본문 바로가기

30.

(42)
OpenSSL HeartBleed 취약점 OpenSSL HeartBleed 취약점네트워크를 통한 데이터 통신에 쓰이는 프로토콜인 TLS와 SSL의 오픈 소스 구현판인 OpenSSL의 라이브러리인 HeartBeat에서 서버에 저장된 중요 메모리 데이터가 노출되는 취약점 발견되었습니다.* 본 보안 취약점(CVE-2014-0160)은 하트블리드(HeartBleed)로 알려져 있음 ※ 참조 : http://heartbleed.com/ 발생 원인OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이 검증을 수행하지 않아 시스템 메모리(서버)에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점입니다.· HeartBeat : 통신 시 연결의 유지, 서버..
The Hacker Firefox The Hacker Firefox21개의 Addon이 설치되어 있는 포터블 Firefox Tool name The Hacker Firefox Author YGN Ethical Hacker Group Website http://sourceforge.net/projects/hackfox/ License type Free Download 설치되어있는 Addon 목록 1. Firebughttps://addons.mozilla.org/ko/firefox/addon/firebug/2. Googlebar Litehttps://addons.mozilla.org/ko/firefox/addon/googlebar-lite/3. HackBarhttps://code.google.com/p/hackbar/4. JavaScript..
22. 세션고정(SF) 취약점 22. 세션고정(SF) 취약점취약점 설명 세션값을 고정하여 명확한 세션 식별자(ID) 값으로 사용자가 로그인하여 정의된 세션 식별자(ID)가 사용 가능하게 되는 취약점 판단기준(조건)- 로그인(인증절차) 전후로 세션이 변하지 않고 처음 웹 서버에 접속할때 세션을 고정하여 사용한다- IP가 다른 두개의 PC에서 동일한 세션으로 접근이 가능하다 모의해킹 시나리오해커는 웹(Target)서버에 접근하여 정상 세션을 발급받는다.해커는 희생자(admin)에게 해커가 받은 정상 세션을 강제로 Set-Cookie하고 웹으로 리다이렉트 하는 스크립트를 메일로 전송한다.희생자(admin)는 해커가 보낸 메일을 확인하고 스크립트를 실행한다.희생자(admin)는 웹(Target)에 접근할때 해커와 같은 세션으로 접근하게 된다..
Flash SWF을 이용한 XSS XSS using a Flash SWF a tiny tool for swf hacking, just browse it:) param&value: a(action) - c(cmd)1.location to url: xss.swf?a=location&c=http://www.google.com/ 2.open url to new window: xss.swf?a=open&c=http://www.google.com/ 3.http request to url: xss.swf?a=get&c=http://www.google.com/ 4.eval js codz: xss.swf?a=eval&c=alert(document.domain)-----------------------------------------------------..
eXeScope eXeScope실행파일 한글 수정 유틸리티 Tool name eXeScope Author - Website http://hp.vector.co.jp/authors/VA003525/emysoft.htm License type Sharaware Download 자매품 : ResScope
ExeInfo PE ExeInfo PEPackers, 압축, 언팩 정보 탐지 툴 Tool name ExeInfo PE Author A.S.L Website http://www.exeinfo.xn.pl License type: Free Download
PEiD v0.95 패킹 확인 PEid v0.95 Tool name PEid Author - Website http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml License type Freeware Download
[DVWA] Damn Vulnerable Web Application 설치 DVWADamn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, help web developers better understand the processes of securing web applications and aid teachers/students to teach/learn web application security in a class room environment. 다운로드 경로 : http://..