Exploit without Coffee

프로젝트 진행 데이터 https://github.com/bongbongco/Vulnerability-Research/tree/master/project

매체가 많아진 만큼 , 그래서 발언권을 얻기 쉬워진 만큼 내공을 쌓기가 힘들어졌다 . 단상에 서고 싶은 욕심에  채  익기도 전에 다듬어지지 않은 지식을 꺼내고 만다 . 그렇게 꺼낸 지식은 내 것도 아니고 원했던 영향력도 가질 수 없다. 주목 받고 싶은 마음은 내려놓는다면 화려한 기술보다는 본질을 이해하는 노력을 기울일 수 있고 그 때 내공이 쌓일 것이다.

Cryptocurrency 블록체인 블록 : 무엇이든 기록할 수 있는 공간으로 (비트코인은 transzction 거래를 넣는다) 지문과 같은 고유의 식별 값을 가지고 있다. 블록 + 체인 : 블록은 추가 생성되면 이전 블록과 연결되어 이전 블록의 식별 값을 참고하여 자신의 식별 값을 생성하게 된다. 이와 같은 방식으로 추가된 블록 간의 연결성을 체인이라 한다. 이와 같이 블록체인은 정보를 저장하는 방법으로 의료기록과 같이 조작이 불가하게 관리하기 위한 데이터베이스이다. 따라서 저장은 가능하지만 삭제하는 것은 불가능한 데이터베이스( Append only )로 이해할 수 있다. 암호화폐 화폐 : 정부를 통해 공인된 거래수단으로 정부의 신뢰도에 따라 화폐의 가치도 결정된다. 암호 : 수학을 이용하여 메시지의 뜻을 감추는 기술로 감춘 정보를 복구하는 방법을 모르는 사람에게 정보를 노출되지 않게 한다. 암호화폐 : 수학에 대한 신뢰를 기반으로 한 화폐로 정부를 포함한 제 3자가 신뢰의 수단이 아니므로(과학기반 화폐) 베네수엘라와 같이 정부의 실패가 화폐에 영향을 미치는 일이 없는 장점이 있다. 화폐 유한함 채굴이 완료 되면 더 이상 늘어날 수 없다. (Ex. 비트코인, 금) 하지만 정부에서 발행하는 명목화폐의 경우 무한정 발행이 가능하며 이는 인플레이션(돈이 많아져 가치가 하락)을 초래할 수 있다. 교환 가능 내가 가진 화폐와 다른 사람이 가진 화폐(동일한 원화는 동일한 가치)를 교환 가능하며 이는 화폐가 오래되었다고 해서 더 높거나, 낮지 않다. 분할성 상품 거래 시 1000원을 500원으로 분할하여 교환할 수 있다. 내구성 시간이 오래되었다고해서 가치가 변질되면 안된다. (1년 후에도 10년 후에도 동일한 금) 양도 가능성 전달이 편리해야한다. 종이화폐와 암호화폐는 이에 충족하지만 금은 충족하지 못한다. 안정성 가치가 안정적이다. 비트코인은 이를 충족하지 못하므로 좋은 화폐가 아니다.

어수룩한 오늘을 추억으로 기억할 언젠가를 기대한다.

Vulnerability 취약점 모든 어플리케이션에는 버그가 존재하며 개발자는 항상 버그와 함께 있다고 해도 과언이 아니다. 이러한 버그들 중 악용 가능한 버그들을 취약점(Vulnerability) 혹은 보안 버그라고 한다. 악용 사례 다른 사용자 개인 정보 무단 열람 웹 사이트 내용 무단 변경 악성 코드 배포 다른 사용자 권한 무단 도용 웹 사이트 서비스 불가 취약성이 있으면 안되는 이유 경제적 손실 이용자의 금전적 손실에 대한 보상 변상 및 위자료 비용 웹 사이트 서비스 불가로 인한 기회 비용 이미지 실추로 인한 매출 감소 법적인 요구 개인정보에 관한 법률 개정이 2011년 12월 29일 국회 본회의를 통과하여 2012년 2월 17일 공포 후 6개월이 경과한 8월 18일부터 시행되고 있다. 이 법안은 개인정보를 수집하고 저장하는 사업자는 개인정보를 취급하는 사업자로서 안전 조치에 대한 의무를 명시하고 있다. 이용자의 돌이킬 수없는 피해 일단 유출된 개인 정보를 막는 것은 불가능하므로 유출된 개인 정보로 인해 이용자가 피해를 입고 잇는 경우 원래 상태로 돌이키는 것은 불가능하다. 또한 금융 정보 유출로 인한 금전적 손실 발생시 보상은 가능할지라도 그에 따른 고통은 보상하기 힘드므로 돈을 통한 해결이 사실상 불가능하다고 볼 수 있다. 봇넷 구축에 가담 봇넷이란 Malware의 일종으로 외부의 명령을 받아 스팸 메일 전송 또는 DDoS 공격에 가담하는 등 좀비 PC들로 구성된 네트워크를 말한다. 공격자는 취약성이 있는 웹 사이트의 내용을 변경하여 이용자의 PC가 봇에 감염되어 공격자의 명령을 받아 자신도 모르는 사이에 공격에 가담되는 상태로 만든다. 취약성 발생의 원인 애플리케이션 버그 보안을 고려하지 않은 설정 애플리케이션 버그에는 SQL 인젝션이나 Cross Site Scripting과 같은 유명한 취약점이 포함되어 있다. 보안을 고려하지 않은 설정의 대표적인 예로는 디

한 가지만 할 수있는 간단한 도구를 만들고 다른 도구와 쉽게 연동할 수 있게 한다. 작고 간단하게, 한 가지 일만, 쉬운 연동

Electronic certificate 전자 인증서 의의 공개 키 암호 방식이나 전자 서명에선 공개 키가 정말로 통신하고자 하는 상대인지 보안되지 않는다는 문제가 있다. 예를 들어 A가 B에게 공개 키를 보낼 때, X가 공개 키를 바꿔 전달해도 B는 눈치채지 못할 수 있다. 전자 인증서를 이용하면 공개 키 작성자가 누구인지를 보증할 수 있다. 동작 방식 A는 공개 키 PA와 비밀 키 SA 쌍을 가지고 있으며 공개 키 PA를 B에게 보내려고 한다. A는 먼저 인증 기관(CA : Certification Authority)에 공개 키 PA가 자신의 것임을 나타내는 인증서 발행을 의뢰한다. 인증 기관은 전자 서명을 관리하기 위한 조직으로 많은 인증 기관이 존재한다. 따라서 정부나 외부 기관을 통해 감사를 받은 신뢰할 수 있는 기관을 이용하는 것이 좋다. 인증 기관은 자신이 준비한 공개 키 PC와 비밀 키 SC를 보유하고 있다. A는 공개 키 PA와 메일 주소를 포함한 개인 정보를 준비해서 인증 기관에 보낸다. 인증 기관은 확인을 완료하면 인증 기관의 비밀 키 SC를 이용해서 A의 데이터로부터 전자 서명을 작성하고 전자 서명과 데이터를 하나의 파일로 만들어 A에게 보낸다. (이 파일이 A의 전자 인증서가 된다.) A는 공개 키 대신 전자 인증서를 B에게 보낸다. B는 전달 받은 인증서에 적힌 메일 주소가 A의 것인지 확인한다. B는 인증 기관의 공개 키를 취득한다. 인증서 내의 서명이 인증 기관의 것인지 검증한다. 인증서의 서명은 인증 기관의 공개 키 PC로만 검증할 수 있다. 즉, 검증 결과에 문제가 없다면 이 인증서는 인증 기관이 발행한 것이라는 것이 보장된다. 인증서가 인증 기관에서 발행된 것이고 A의 것임이 확인되었으면 인증서에서 A 공개 키 PA를 추출한다. (A의 공개 키 B에게 전달 완료) 검증 악의를 지닌 X가 A로 위장하여 B에게 공개 키 PX를 전달하려고 하지만 B는