목록전체 글 (57)
앵하니의 더 나은 보안
개요 2세대 암호화폐, 스마트 컨트랙트를 활용하는 암호화폐의 지갑 생성 과정을 알아보겠다. 갑자기 왜 ? 배포되는 컨트랙트도 엄청 많고, 생성되는 지갑들도 말도 안되게 많을텐데 지갑 주소로 사용되는 형식이, 경우의 수가 모두 소진돼서 주소가 겹치면 어떻게 될 지, 그리고 고의적으로 같은 지갑주소를 생성하면 어떻게 될지가 궁금해서 중복되는 지갑주소를 특정해서 만들어보고자 한다. 만들려면 만드는 방법을 먼저 알아야하니, 지갑 만드는법을 알아보고 실제로 python으로 지갑을 한번 생성해보도록 하자 2세대 암호화폐 지갑(주소)의 생성 과정 2세대 암호화폐 지갑의 생성은 개인키 생성 > 공개키 생성 > 지갑주소 생성의 과정으로 이루어진다. 개인키 생성 최초 생성되는 개인키는 예측할 수 없는 값이여야하므로 난수 ..
서론 HTTPS(SSL/TLS)-세션-성립-과정을 통해 HTTPS 세션이 어떻게 맺어지는지, 어떻게 핸드쉐이킹을 하는지 대략적으로 알아봤다. 근데, 막상 와이어샤크로 HTTPS 핸드쉐이킹 과정의 패킷을 잡으려니 Client Hello, Server Hello 이후 Certificate 과정부터는 볼 수가 없었다. 그래서 왜 이와 같은 문제가 생기는지 확인하고, 어떻게해야 Certificate 패킷을 확인할 수 있는지 한번 알아보겠다. 본론 TLS 1.3 결론부터 말하자면 Certificate 과정을 와이어샤크에서 확인할 수 없는 이유는, TLS 1.3 통신때문이다. TLS 1.3부터는 Client Hello, Server Hello 이후의 모든 패킷은 암호화되어, 와이어샤크에서 Application Da..
서론API 환경에서의 XSS를 시도해서 무난하게 성공한적이 있는가?분명히 burp의 response에서는 스크립트 태그 값 이 평범하게 찍혀나오는데,이상하게 브라우져로 펼쳐지기만 하면 각각 <, >으로 치환돼서 보인다.물론 가 필요없는 곳에서는 동작할 수 있지만, 그런환경을 아직 본적이 없다.그래서 왜 그런지 진상 규명 실시하고 어떻게 해야할런지, 어떻게해야 동작시킬 수 있는지 한번 알아보자 본론HTML 파일에서의 XSS 동작일단 아래 HTML 파일을 작성해 테스트에 사용해보자XSS TestXSS test 그리고 실행하면 당연히 XSS test alert를 확인할 수 있다. 이는 브라우저의 document 영역에 xss 스크립트 구문이 존재하기 때문인데그렇다는 말인즉, api 환경에서는 브라..
들어가기전에 웹 서비스에서 XSS를 공략할 때, Response에 입력한 값이 그대로 노출되는데 브라우저에서는 동작하지 않았던 적이 있는가? 필자는 그런적이 있는데, 그땐 졸업한지 얼마안됐던 때라 왜 안되지라고만 생각하고 딱히 정답은 못찾았었다. 그렇게 우여곡절을 겪다가 대뜸 응답 헤더에 나와있는 x-xss-protection이라는 이상한 애를 찾고는, 아 응답 헤더에 보안 관련 설정 값을 넣을 수 있구나, 추후에 정리해야겠다 생각했지만 공부만 하고 따로 정리한적은 없어서 조금 여유있는 시간을 활용해 HTTP 보안헤더에 대해 정리해보려 한다. 보안헤더는 크게 5가지가 있는데 이 중에 XSS/CSRF 관련 보안헤더만 4개정도를 차지한다. 각각 어떻게 생겼고, 어떤 역할을 하는지 그리고 어떤 원리로 공격을 ..