볼통통 알파카의 사회생활

포맷 스트링 삽입 공격 설명 외부에서 입력한 값을 검증하지 않고, 입출력 함수의 포맷 문자열 그대로 사용하는 경우 발생. 파이썬에 있는 포맷 문자열 함수를 이용하여 취약 프로세스를 공격하여 권한 취득하여 임의로 코드를 실행하는 공격 기법 ​ 파이썬 포맷 스트링 삽입 공격 방식 {main.__init__.__globals__[AUTHENTICATE_KEY]} 와 같은 문자열을 입력하여 내부 정보를 유출 유도 공격 예방 코드 예 AUTHENTICATE_KEY = 'Passw0rd' def make_user_message(request): user_info = get_user_info(request.POST.get('user_id', '')) # 사용자가 입력한 문자열을 포맷 문자열로 사용하지 않아 안전함 m..

크로스 사이트 요청 위조(CSRF) 이해 사용자가 인지하지 못한 상황에서 공격자가 의도한 행위(수정, 삭제, 등록 등)를 요청하게 하는 공격 공격 대상은 XSS와 다르게 서버를 대상으로 공격 시도 프레임별 옵션 설정하는 방법 Django에서 CSRF 옵션 세팅 MIDDLEWARE = [ 'django.contrib.sessions.middleware.SessionMiddleware', # MIDDLEWARE csrf . 목록에서 항목을 활성화 한다 'django.middleware.csrf.CsrfViewMiddleware', ...... ] settings.py에서 미들웨어 부분에 csrf 부분을 활성화해준다. 이후 스크립트에서 csrf 토큰을 명시해 준다. html에서 토큰 입력 부분 - form 태..

피싱 공격이란? 일반적으로 사용자에서 전달한 URL 주소로 연결하기 때문에 안전하다 생각할 수 있지만 해당 폼의 요청을 변조하여 피싱사이트로 접속하게 만든다. 피싱공격 방법 1. 공격자가 웹서버에 URL 주소 변조 값을 전달한다. 2. 변조된 URL 반환 값(피싱사이트)로 연결된다. 3. 일반 사용자가 웹서버에 올라간 URL을 클릭할 때 피싱사이트로 연결된다. 피싱 공격 시큐어 코딩 예시 : 화이트리스트 만들어 관리 ALLOW_URL_LIST = [ '127.0.0.1', '192.168.0.1', 'https://login.service.com', ...... '/notice' ] def redirect_url(request): url_string = request.POST.get('url', '') ..

가끔씩 한글문서를 만들 때 보고서나 공문을 메일로 전달할 때 수정하지 못하게 만들어야 하는 경우가 있다. 보통은 pdf로 저장하는 방법을 사용하지만 한글 문서에서도 수정되지 않고, 출력 횟수도 제한해서 보안 기능을 높이는 방법이 있다. 이 방법은 주로 정부나 공공기관에서 발행하는 문서에서 적용되는 방법이다. 한글문서 수정 못하게 하는 방법은 정말 간단하다. 1. 보안 탭 클릭 2. 배포용 문서로 저장 클릭 3. 암호 입력(5자리 이상) 4. 저장할 제목과 위치 선택 5. 저장 위 방법은 neo버전 이상일 때 적용방법이다.​ 2002 버전 이상부터 보안문서를 불러올 수 있으니 업무 할 때 참고하면 좋겠다. 순서대로 따라 하기 어렵다면 아래 이미지 순으로 따라 해 보길 바란다. ​이렇게 하면 배포용 문서로 ..

파일 업로드 공격이란? 서버 측에서 실행될 수 있는 스크립트(asp, jsp, php, sh 등)파일 등 이 업로드 가능하면, 이 파일을 통해 공격자가 웹서버에서 직접 접근 기반을 마련하는 공격 기법이다. 파일 업로드 공격 방법 1. 공격자가 실행 가능한 파일을 서버에 업로드한다. 2. 파이썬에서 문자열 형식으로 표현된 형식을 인수로 받는다. 3. 인수를 반환하는 eval이나 인수로 받은 문자열을 실행하는 exec 함수를 같이 사용해 여러 변수들을 실행시킨다. 이는 웹 쉘 공격에 취약하게 만드는 방법이다. 파일 업로드 시큐어 코딩 예시 ​ # 업로드 하는 파일에 대한 개수, 크기, 확장자 제한하는 설정 FILE_COUNT_LIMIT = 5 # 업로드 하는 파일의 최대 사이즈 제한 (5MB - 5*1024..

경로조작 및 자원삽입 공격 설명 외부 입력값을 통해 파일 및 서버 등 시스템 자원에 대한 접근 또는 식별을 허용할 경우, 입력 값 조작을 통해 시스템이 보호하는 자원에 임의로 접근할 수 있는 보안취약점. 공격자는 게시글 혹은 데이터의 수정, 삭제, 정보노출, 시스템 장애 등을 유발 할 수 있음. 즉, 공격자가 허용되지 않은 권한을 취득하여 설정에 관계된 파일을 변경하거나 실행시킬 수 있는 공격 경로조작 시큐어코딩 예시 필터링 적용 예(Django프레임워크) def get_info(request): # 외부 입력 값으로 받은 파일 이름은 검증하여 사용한다 request_file = request.POST.get('request_file') filename, file_ext = os.path.splitext..

XSS(Cross Site Scripting) 공격 특징 공격자가 상대방의 브라우저에서 스크립트가 실행되도록 만드는 방식이다. 사용자의 세션을 가로채기, 웹사이트 변조, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것 주로 스크립트 코드를 삽입해서 입력이 되면 위와 같은 공격이 진행된다. XSS 공격 대상 사이트를 방문하는 무차별적인 사람을 대상으로 공격한다. 즉, 게시판에 글을 올리면 클릭하는 사람을 대상이 피해자가 된다. 사용자가 XSS를 예방하는 방법 홈페이지 시스템에서 게시글 올려보기 예) 안녕하세요 테스트합니다. 이렇게 스크립트에서 경고창 띄우는 함수 사용하여 글을 올림 내가 올린 게시판을 클릭하여 경고창이 뜨면 해당 사이트 사용 금지 언제까지? 조치될 때까지 사용하지 말아야 한다. CSR..

걷기, 가성비 좋은 운동 어떤 운동이 시간, 비용 대비 효과가 가장 좋을까? 여러 가지 방면으로 찾아보고 비교했을 때 걷기 운동이 가장 좋다고 생각했다. 비용, 즉흥성, 시간 3가지 측면에서 살펴보았을 때 걷기가 가장 좋았다. 사지 멀쩡한 사람이라면 언제 어느 때나 걷고 있고, 걸을 수 있다. 그리고 걷는데 운동화(신발) 비용 외 추가적인 비용이 들지 않는다. 또한 어느 때라도 원하는 강도만큼 쉽게 조절하면서 할 수 있다. 걷기를 매일 해도 살이 빠지지 않는 사람은 왜 그럴까? 나도 이 부분에 대해 많은 고민을 했었다. 그런데 놀랍게도 살은 빠지고 있었다. 그런데 뱃살이 늘어났다. 내장지방, 복부둘레는 웨이트를 하거나 복근운동을 해서 뺄 수 있는 살이 아니었다. 복근 운동을 정말 열심히 해서 근육도 어느..

햄버거의 오해 햄버거는 탄단지와 각종 영향성분을 고르게 갖춘 식품이다. 그런데 패스트푸드가 건강에 나쁘다는 말이 나오는 이유가 무엇일까? 그 이유는 세트메뉴의 감자튀김과 콜라다. 햄버거 단품 한 개는 고칼로리가 아니다. 딱 밥 한 공기 또는 한 공기 반의 칼로리를 갖고 있다. 그래서 햄버거 단품을 섭취하는 것은 나쁘지 않다. 그런데 감자튀김과 콜라는 엄청나게 몸에 부담을 주는 식품이다. GI지수가 높은 감자 그리고 트랜스지방 마지막으로 높은 염분은 먹어도 포만감을 높여주지 않는다. 거기에 청량음료라고 하는 콜라, 사이다는 어마어마한 액상과당이 첨가되어 있다. 이 두 가지 조합으로 햄버거가 건강에 나쁘다고 오해를 받고 있다. 여러 유튜브에서 '햄버거만' 먹고 인바디 영상을 올린 것을 보면 다이어트에 도움이..

오늘 저녁식사 버섯 샤부샤부...? 저녁식사로 약 665kcal라고 한다. 소고기를 포함했으니까 800kcal 정도 식사를 했다. 오늘 아침 겸 점심은 김치볶음밥과 계란 프라이였다. 1500kcal 이상 식사를 하지 않았기 때문에 이대로 일주일을 유지한다면 분명 1kg 가까이 줄어들거라 생각한다. 오늘 저녁식사 완료 시간은 7시였다. 체지방을 빼기 위해서는 약 20시간의 공복을 유지하라고 했는데 계산대로라면 다음날 3시다. 나에게는 너무 큰 고통이다. 먹는데 가장 진지한 사람. 먹는데 돈 안 아끼는 사람이 난데 그동안 깨어있는데 먹지 못하는 건 스트레스가 매우 크다. 그리고 아침에 일찍 일어나서 다양하게 활동하고 운동하기 위해서는 식사를 해야 한다. 스트레스로 코르티솔 수치가 높아지면 식욕억제 호르몬인 ..