본문 바로가기
반응형

분류 전체보기65

티스토리 구글 검색 노출시키기 - 구글 서치 콘솔 연동 + 사용자 인증 실패 해결법 티스토리는 자동으로 구글에 노출되는 줄 알고 있었는데 아니었다...! 아는 언니가 이것도 설정해줘야 한다고 해서 알게된...!!!!!! 바로 설정해보자. 티스토리 관리 화면에서 [플러그인 > 구글 서치콘솔]을 클릭 티스토리 관리 화면은 브라우저의 URL창에서 본인의 tistory.com 주소 뒤에/manage만 입력하면 된다. 구글 서치콘솔 창에서 계정 연결하기를 클릭하고 모든 권한을 허용하면 끝이다. ㅎㅎ아주쉽군. 은 개뿔이.. 쉽게가는 법이없다. 인증 실패라고 나온다. ..ㅂㄷ 서칭해보니까 직접 구글서치콘솔사이트에서 추가를 하면 된다고 나와있다. 바로 해보자. 일단 구글 서치 콘솔에 접속한다. https://search.google.com/search-console?hl=ko Google Search.. 2023. 12. 10.
제로 트러스트란? 제로 트러스트란? 모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제로 보안 아키텍처를 설계하는 방식. '신뢰하지 말고 항상 검증할 것'이라는 원칙을 바탕 제로 트러스트를 도입한다는 것은 SSO(Single Sign On)을 사용하지 않는다는 것이다. 조직은 지속적인 검증과 증명 기능을 갖춰야 한다. [핵심 원칙] 1. 절대 신뢰하지 말고 항상 검증하라. -> 모든 사용자, 장치, 애플리케이션, 워크로드, 데이터 흐름을 신뢰할 수 없는 것으로 간주. -> 동적 보안 정책을 사용하여 필요한 최소한의 권한(POLP)으로 각각을 인증하고 권한을 명시적으로 승인 2. 위반을 가정하라. -> 공격자가 이미 환경 내부에 침입했다고 가정하고 리소스를 의식적으로 운용하고 보호. -> 기본적으로 거부하며 모든 사용.. 2023. 12. 7.
PDF 원하는 구간 자르기, 나누기 나중에 내가 기억이 안날 수 있으니까 기록해둔다. 1. 우측 상단에 있는 인쇄 버튼을 클릭한다. 2. 프린터 선택 옵션에서 PDF로 저장을 누른다. 3. 저장을 원하는 페이지 작성 [인쇄 관련] 600 600페이지만 저장 600, 700 600, 700페이지 각각만 저장 600-700 600페이지부터 700페이지까지 저장 600-700, 800 600페이지부터 700페이지까지 저장, 800페이지 저장 2023. 11. 16.
[webhacking.kr] old-38번 문제풀이 | CRLF Injection취약점 old-38번 문제를 풀어보겠다. LOG INJECTION이란 문구과 로그인 입력값을 받는 페이지가 나온다. admin을 입력하고 로그인을 시도하면 you are not admin이란 글이 출력된다. 로그인 페이지의 숨겨진 admin.php페이지를 주석에서 발견했다. 접속해보자. log viewer가 나오면서 admin으로 로그인하라는 문장이 출력된다. 몇 번 더 로그인 시도를 해보고 admin.php 페이지를 접속해보니 log viewer라는 해석대로 로그인 시도했던 IP와 입력값을 출력해주는 로그를 볼 수 있다. (모자이크 된 부분은 IP이다.) 위에서 아래로 순서대로 로그가 남는 것을 보니 CRLF 개행을 이용해서 admin으로 로그인한 로그를 남길 수 있을 것 같다. CRLF취약점은 https:/.. 2023. 11. 12.
[웹 취약점]CRLF 취약점(HTTP 응답 분할 공격) CRLF(Carriage Return Line Feed)란? CR(Carriage Return: \r): 커서의 위치를 현재 줄의 맨 앞으로 보내는 개행 문자 LF(Line Feed: \n): 커서를 다음 행으로 옮기는 개행 문자 이 둘의 결합으로 쉽게 말해서 키보드의 Enter키와 동일한 기능을 가지고 있다 Char URL Encode ASCII Code CR(Carriage Return) \r %0D ASCII 13 LF(Line Feed) \n %0A ASCII 10 아래와 같이 버프를 통해 요청값의 줄바꿈이 된 문자열 전에 무조건 \r\n이 포함되어 있다는 것을 확인 가능하다. \n버튼 클릭 전 \n 버튼 클릭 후 이러한 CRLF 개행문자를 이용하여 공격을 할 수 있는데 CRLF Injection.. 2023. 11. 12.
[시큐어코딩] 적절하지 않은 난수값 사용, random() 취약점 예측 가능한 난수를 사용하면 시스템에 보안약점을 유발한다. random()함수가 그 대표적인 예로, 시큐어 코딩이 필요하다. 행정안전부에서 SW개발보안 가이드 47개 항목 중 보안 기능의 24번째 항목 "적절하지 않은 난수값 사용"에 해당하는 부분이다. 오늘은 난수값의 정확한 시큐어코딩 방법에 대해 공부하고자 한다. 난수란? 어떤 주기로 반복되지 않고, 특정한 규칙 없이 무작위로 나열돼 있는 수 쉽게 말해서 예측 불가능한 수라고 생각하면 된다. 난수를 사용하지 않고 예측 가능한 수를 사용하면, 공격자는 SW에서 생성되는 다음 숫자를 예상하여 시스템을 공격하는 것이 가능하다. 예를 들어 Java의 경우 랜덤 난수를 발생시킬 때 보통 Math.random()을 많이 사용하는데, 해당 메소드의 사용은 시드값을.. 2023. 11. 4.
반응형