![]()
프롤로그 자 지금까지 2024.01.17 - [보안 스터디/암호학] - [암호학] 암호화 해킹 #4 (대칭키 암호, Symmetric-key Cryptography) [암호학] 암호화 해킹 #4 (대칭키 암호, Symmetric-key Cryptography) 프롤로그 이제 암호학 본격적으로 들어가보자 대칭키 암호 대칭키 암호란 암호화에 사용되는 암호키와 복호화에 사용되는 암호키가 동일한 암호화 기법을 말한다. 대칭키 암호 방식으로 암호 taesan-smj.tistory.com 대칭키 암호에 대해서 배우고, 블록 암호화 스트림 암호를 대해서 배웠다. 스트림 암호인 ARC4를 구현했었다. 2024.01.18 - [보안 스터디/암호학] - [암호학] 암호화 해킹 #7 (스트림 암호와 ARC4) [암호학] 암..
![]()
프롤로그 파이썬에서 암호화된 내용을 파일로 저장을 하고, 해당 파일을 매트랩에서 불러오려고 했는데, 인코딩 디코딩에서 문제가 생기는지 계속 이상한 특수 문자가 생겨서 저번 글이랑 아예 차이가 없을 거 같다. AES(Rijndael 알고리즘) AES(Advanced Encryption Standard)는 DES를 대체하기 위해 2001년 미국 표준 기술 연구소(NIST)에서 제정한 새로운 암호 표준이다. SPN 블록 구조를 사용하는데, 키는 128비트, 192비트, 256비트를 지원하며 암호 블록 크기는 128비트 이다. AES 알고리즘에 대한 공격 방법은 다양하게 알려져 있으나 아직까지 AES로 암호화된 정보가 완전히 해독된 사례가 없기 때문에 안전성이 보장된 알고리즘이라고 할 수 있다. SPN 구조 (..
프롤로그 대칭키 암호 - 스트림 구조 - 블록 구조 - 파이스텔 방식 - SPN 구조에서 파이스텔 방식에서 2024.01.18 - [보안 스터디/암호학] - [암호학] 암호화 해킹 #5 (3DES 및 구현) [암호학] 암호화 해킹 #5 (3DES 및 구현) 프롤로그 아 좀 빡센데 3DES DES(Data Encryption Standard 는 1970년대 IBM에서 파이스텔 블록구조에 기반하여 설계뙤고 개발된 56비트 암호화 알고리즘으로써 되게 인기있었지만 56비트라는 작은 암호키로 taesan-smj.tistory.com DES 방식을 직접 구현해보았고 SPN 방식에서 2024.01.18 - [보안 스터디/암호학] - [암호학] 암호화 해킹 #6 (AES 및 구현) [암호학] 암호화 해킹 #6 (AES..
![]()
프롤로그 2024.01.17 - [보안 스터디/암호학] - [암호학] 암호화 해킹 #4 (대칭키 암호, Symmetric-key Cryptography) [암호학] 암호화 해킹 #4 (대칭키 암호, Symmetric-key Cryptography) 프롤로그 이제 암호학 본격적으로 들어가보자 대칭키 암호 대칭키 암호란 암호화에 사용되는 암호키와 복호화에 사용되는 암호키가 동일한 암호화 기법을 말한다. 대칭키 암호 방식으로 암호 taesan-smj.tistory.com 이 글을 복습해보자면, 대칭키 암호란 암호화에 사용되는 암호키와 복호화에 사용되는 암호키가 서로 동일한 암호화 기법이라고 하였다. 이 대칭키 암호화 방식은 데이터를 변환하는 방식에 따라 블록암호화 스트림 암호로 구분된다. 이때, 지금 우리는 ..
![]()
프롤로그 암호학을 공부하기 위해 파이썬의 from Crypto.Cipher import DES3 from Crypto.Hash import SHA256 as SHA import sys 를 사용했었고, 이걸 매트랩에서 똑같이 구현해볼려고 했는데, 매트랩에서는 Cryptograph 와 관련된 Toolbox가 존재하지 않았다. 이를 매트랩에서 활용할려면 결국 파이썬으로 넘겨주고 파이썬에서 실행한 후에 이를 매트랩으로 다시 가져와야한다. 이를 알아보자. 우선 DES를 확인하기 전에 2가지 알아야할 게 있다. (1) 파이스텔 구조 평문이 주어졌을 때, 입력되는 평문 블록을 좌우 두개 블록으로 분할하고, 좌측 블록을 파이스텔 함수라 불리는 라운드 함수를 적용하여 출력된 결과를 우측 블록에 적용하는 과정을 반복적으로..
![]()
프롤로그 아 좀 빡센데 3DES DES(Data Encryption Standard 는 1970년대 IBM에서 파이스텔 블록구조에 기반하여 설계뙤고 개발된 56비트 암호화 알고리즘으로써 되게 인기있었지만 56비트라는 작은 암호키로 인하여 빠르게 깨졌다.현재 컴퓨팅 기술로 DES는 보안성이 결여되어 현재 사용하지 않는 암호화 알고리즘이 되어버렸다. 이를 보완하기 위하여 나온 게 3DES(Triple DES)인데, 3DES는 암호화를 위해 블록당 3번의 DES를 수행함. 즉 56 * 3 = 168비트 키 암호화 알고리즘이며, DES의 핵심 알고리즘의 변경없이 적용되었다. DES에 비해 보안적인 요소는 증가했지만 성능은 감소하였다. CBC 모드라는 운영모드가 있는데, 이전 블록의 암호회된 블록과 XOR연산을 ..
![]()
프롤로그 이제 암호학 본격적으로 들어가보자 대칭키 암호 대칭키 암호란 암호화에 사용되는 암호키와 복호화에 사용되는 암호키가 동일한 암호화 기법을 말한다. 대칭키 암호 방식으로 암호화한 정보를 누군가에게 보낼 때 암호키도 함께 보내야 하는데, 암호키 자체는 암호화가 되지 않은 평문이다. 이 과정에서 암호키를 분실하거나 타인에게 노출되면 이 암호키로 암호화한 정보는 보안에 매우 취약해진다. 그래서 이 대칭키 암호의 최대약점은 암호키를 관리하고 전달하는 메커니즘이다. 대칭키 암호 원리 대칭키 암호는 이진수의 비트간 배타적 논리합(XOR) 연산에 기반한다. 원래의 정보에 암호키와 비트간 XOR 연산을 하여 암호화된 정보를 반드는 것이고, 암호화된 정보에 암호키를 비트간 XOR연산을 하여 원래 정보로 복호화한다...
![]()
프롤로그 아 할 거 너무 많은데....큰일났다;; 정보 시스템 구축 절차 분석->설계->구현->시험->유지보수 분석 : 구현하고자 하는 프로젝트의 가장 첫 단계. 시스템 분석 또는 요구사항 분석. "what" 즉 무엇을 할 것인가 결정 설계 : 우리가 구축하고자 하는 시스템을 "How" 즉 어떻게 할 것인가 결정 나머지는 알아서 프로그래머가 다 한다. 그래서 분석 설계가 끝나면 50% 이상이 끝난다. 데이터베이스 모델링과 필수 용어 -데이터베이스 모델링 : 분석과 설계 과정 중에서 가장 중요한 과정. 현실세계에서 사용되는 데이터를 MySQL에 어떻게 옮겨 놓을 것인가 결정하는 과정. 정보들을 단편적으로 저장하는 것이 아니라 테이블이라는 형식에 맞춰서 넣어야한다. -데이터 : 단편적인 정보. 정보는 있으나..
![]()
문제 https://dreamhack.io/wargame/challenges/75 web-ssrf flask로 작성된 image viewer 서비스 입니다. SSRF 취약점을 이용해 플래그를 획득하세요. 플래그는 /app/flag.txt에 있습니다. 문제 수정 내역 2023.07.17 css, html 제공 Reference Server-side Basic dreamhack.io 문제코드 #!/usr/bin/python3 from flask import ( Flask, request, render_template ) import http.server import threading import requests import os, random, base64 from urllib.parse import url..
![]()
프롤로그 이건 또 뭘까..;; 서론 웹 개발 언어는 HTTP 요청을 전송하는 라이브러리를 제공한다. 파이썬같은 경우 urllib, requests 가 있다. 이 라이브러리는 HTTP 요청을 보낼 클라이언트 뿐만 아니라 서버와 서버간 통신을 위해 사용되기도 한다. 일반적으로 다른 웹 애플리케이션에 존재하는 리소스를 사용하기 위한 목적으로 통신한다. 기존에는 단일 서비스로 웹 서비스를 구현하였지만, 이제는 관리 및 코드의 복잡도를 낮추기 위해 마이크로서비스들로 웹 서비스를 구현하는 추세인데, 각 마이크로서비스는 주로 HTTP, GRPC 등을 사용해 API 통신을 한다. 서비스간 HTTP 통신이 이루어질때 요청 내에 이용자의 입력값이 포함될 수 있는데, 이용자의 입력값으로 포함되면 개발자가 의도하지 않은 요청..
![]()
프롤로그 아 개어려운데 풀 수 있을까? 문제 문제코드 #!/usr/bin/env python3 import os import shutil from flask import Flask, request, render_template, redirect from flag import FLAG APP = Flask(__name__) UPLOAD_DIR = 'uploads' @APP.route('/') def index(): files = os.listdir(UPLOAD_DIR) return render_template('index.html', files=files) @APP.route('/upload', methods=['GET', 'POST']) def upload_memo(): if request.method ..
프롤로그 웹개발 하면서 가장 많이 애먹었던 것은 CORS 부분이랑 여기 파일 올릴때 보안 정책이었다. 그것에 대해 배우는 것 같아서 이제 웹개발할때 조금 더 편하지 않을까 싶다. 서론 파일 공유 서비스를 개발할때, 이용자가 업로드한 파일을 데이터베이스에 저장하는 것보다는 서버의 파일 시스템에 저장하는 것이 개발하기 쉽고, 관리 효율도 높으나 임의 파일이 다운로드 되는 취약점이나, 악성 웹셸 파일을 업로드 하여 임의 코드를 실행할 수 있는 취약점이 발생되기도 한다. 파일 업로드와 관련해서 발생하는 취약점은 파일 업로드 취약점(File Upload Vulnerability)이다. 파일 시스템상 임의 경로에 원하는 파일을 업로드 하거나 악성 확장자를 갖는 파일을 업로드할 수 있을 때 발생한다. 원하는 시스템 ..
