앵하니의 더 나은 보안

과거 웹 취약점 진단 시 자동등록방지용 captcha 수준이 낮아 파이썬 OCR 코딩을 통해 우회했던 코드를 공유한다. 사실 대단한 코드는 아니고 잘 만들어진 pytesseract 모듈을 사용했다. from PIL import Image import pytesseract import urllib.request ans_list = [] try_num = 10 for i in range(try_num): url = "https://캡챠생성페이지" urllib.request.urlretrieve(url,'captcha.png') data = Image.open("./captcha.png") pytesseract.pytesseract.tesseract_cmd = r'C:/Users/test/Desktop/Tes..

과거 프로젝트 중 무선 네트워크 관련 시나리오 모의해킹을 수행하면서, wifi(무선 AP) 4way 핸드쉐이크 그 중 WAP/WAP2 PSK에 대해 알아본 적이 있어 정리해보려 한다. 연결시도 시 단말기와 무선AP 양 끝단에서 SSID와 와이파이 연결 패스워드를 이용해 PSK 생성 무선 AP에서 AA와 ANonce를 단말기에 송신 단말기에서 수신된 AA와 ANonce 정보를 이용해 PTK를 생성, 생성한 PTK를 이용해 MIC를 생성 후 SA와 SNonce, 생성한 MIC 데이터를 무선 AP에 송신 무선 AP에서 수신된 단말기의 MIC 데이터 검증 후 SA와 SNonce 정보를 이용해 PTK, MIC 생성하여 단말기에 MIC 데이터 송신 단말기에서 수신된 무선 AP의 MIC 데이터 검증 후 세션 성립 A..

여기서 PoW는 proof of work로 특정 해시값의 평문을 찾을때 사용하는 알고리즘을 뜻함 그래서 sha1(X)[:5] == 61093라는 말의 뜻은 첫 5글자가 61093인 해시 값의 평문을 찾으라는것 ※ sha(x)[:5]==61093라는 데이터는 세션값을 통해서 index.php 접근할때마다 매번 새로운 5글자를 만들어냄 ex) sha1(x)[:5] == a8c0e 해시 값 61093 을 찾은 후 해당 평문을 텍스트필드에 쓴 뒤에 제출을 클릭해야 nohack이라는 문구 없이 이미지업로드가 가능함 ※ 해당 값을 못찾으면 nohack이라는 alert 표시되면서 파일업로드가 안됨 import hashlib import pickle num = 0 num_table = {} keyword = "6109..

보호되어 있는 글입니다.