목록전체 글 (421)
외로운 Nova의 작업실
정보보안기사 필기 - 43(정보 보호 관련 법규 1)
- 주요 법률 및 기준 개인정보보호법, 개인정보의 안전성 확보 조치 기준(행정 규칙), 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보의 기술적 관리적 보호조치 기준, 위치정보의 보호 및 이용 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 - 개인정보보호법 개인정보보호법의 목적은 개인정보의 유출 오용 남용으로부터 사생활의 비밀등을 보호함으로써 국민의 권리와 이익을 증진하고 개인의 존엄과 가치를 구현하기위하여 개인정보의 처리에 관한 사항을 규정하는 것입니다. 개인정보보호법은 2011년3월에 제정되었습니다. 제1장(1조~6조) : 총칙 제2장(7조~14조) : 개인정보 보호정책의 수립 등 제3장(15조~28조) : 개인정보의 처리 제4장(29조~34조): 개인정보의 안전한 권리 제5장(3..
dreamhack 시스템해킹 - 7(stack buffer overflow)
stack buffer overflow 실습을 해볼까합니다. - 취약점이 있는 코드 #include #include void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); } void get_shell(){ char *cmd = "/bin/sh"; char *args[] = {cmd, NULL}; execve(cmd, args, NULL); } int main(){ char buf[0x28]; init(); printf("input: "); scanf("%s", buf)); return 0; } scanf 함수는 사용자로부터 받은 값을 검증하지 않고 버퍼에 넣기때문에 버퍼보다 사용자로부터 받은 값이 크다면 버퍼를 흘러 넘치게됩니다. buf의 크..
dreamhack 웹해킹 - 12(error-based sqli)
이번시간에는 error based sql injection 문제를 풀어보도록 하겠습니다. https://dreamhack.io/wargame/challenges/412/ error based sql injection Description Simple Error Based SQL Injection ! dreamhack.io - 문제인식 뭔가 sql을 집어넣는 곳이 있는 것 같습니다. 문제 파일을 다운로드해보겠습니다. import os from flask import Flask, request from flask_mysqldb import MySQL app = Flask(__name__) app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost'..