YPrefer's Develop&Security

창업한지 벌써 2달이 되었는데,
가장 먼저 찾았던 것이 어떤 협업도구를 사용할지 찾는거였다.

아무래도 스타트업으로 비용이 많이 나가기 때문에 여러 협업툴을 검토했는데
우리의 선택은 두레이였다.

다른 무엇보다도 메일 전송이 가장 강력했다.
왜냐하면, 우리 서비스 특성상 하루에 많은 양의 메일을 전송해야 하는데,
Google 도 그렇게 왠만하면 다 하루 최대 1000건~2000건의 제한이 있었으까..

일일 발송량이 무제한인것은 두레이 뿐이었고
자연스레 두레이를 쓰게 됬다. 그러다가 드라이브 기능도 쓰고, 결재기능, 근태 기능 등
업무를 하면서 필요한 것들이 두레이에 있다는 걸 알게되고, 결국 무료체험의 끝에서 유료를 선택하고 말았다.

하지만, 후회하지는 않는다 꼭 필요한 협업도구였고. 잘 쓰고 있으니까.

워너크라이는 올해 5월쯤 전세계적으로 유행한 랜섬웨어 공격인데, 445포트를 통해 감염되는 것이 남다르다.

기업보안담당자 입장에서는, 전 임직원이 MS보안패치를 했는지 관리하고 확인해야 하는 의무가 있는데

그럴때 조금이나마 도움이 될수있는 스크립트가 있다.

link: https://github.com/apkjet/TrustlookWannaCryToolkit

TrustlookWannerCryToolkit은 해당 ip의 pc가 보안패치가 되어있는지 확인하여 결과를 띄워주는 python script인데,

사실 나도 써보진 않았지만 동료가 소개해줘서 글을 적어보았다.

동료의 말로는, 점검을 위해서는 선제되어야 하는 조건이 있는데,

① 445포트가 서비스 되고 있어야 한다고 한다.

결과로는

워너 크라이 패치가 되있는 pc라면 -> 점검완료(done)으로 나오거나 system is not vulnuer

워너 크라이 패치가 되있지 않은 pc라면 -> system is vulnuer

로 나온다고 한다.

이전에 올린 java와 기능은 같다.

내가 한 것은 아니가 동료가 java용은 설치해야 한다고 귀찮다며 만들어서 주었다.

Fortify 라는 소스점검도구가 있다.

이 점검도구를 이용하면 소스코드를 빌딩하면서 어떤 소스파일의 어디라인데서 취약점이 있다고 보여진다 라는 레포팅을 만들어 준다.

이러한 결과는 개발자에게 전달되는데, 최신버전의 Fortify 는 그렇지 않지만

구버전의 Fortify는 레포트의 형태가 XML, PDF, WORD 파일 이 3가지로 떨어진다.

근데 문제는, 취약점이 적게는 몇천개 많게는 수십만개까지 잡히는데 이것을 word나 xml로 보면 굉장히 불편하다는 점이다.

(그래서 최신버전에는 excel로 레포팅을 하게 만들었겟지만.. 그럼에도 보기는 불편하긴 하다.)

그래서 그 결과는 나름대로 보기편하게 필요한 요소만 뽑아내서 파싱해주도록했다.

점검자는 개발자 입장에서 보면 딴지걸고 시비거는 사람으로 밖에 안보이겠지만...,

그래도 조금이라도 편하게 조치하시기를 바라는 마음에서 만들어보았다.

종종 그런 경우가 있다.
어떤 프로그램을 이용하고 싶은데, 너무 정보를 늦게 알아 내가 확인했을때는 이미 인원이 풀로 차있는 경우..

혹시나 누군가 취소하지 않을까 하여, 가끔 들어가곤 하지만 매일 매시간 확인할 수도 없는 노릇이다.

이 때 사용할 간단한 python 코드를 짜보앗다.

내 경우에는 템플스테이 만원행복을 하고 싶었는데, 이미 인원이 다 차버렸었다...ㅜ

원랜 1박에 9만원정도 하는 프로그램인데 1박 1만원으로 진행하니 인기가 많을 수밖에 없다..

그래도 하고싶은 마음에 뒤적뒤적 거리다가 알게된것은 예약을 할때 호출하는 url과 parameter들은

각 템플마다 동일하고 단지 ProgramId parameter로 템플간 구분을 하는 형태로 개발되있는 것을 알 수 있었다.

이를 이용하여, 예약이 가능한 템플(비 인기)에서 요청하는 형태를 알아내고, 내가 원하는 템플의 I로 지속적으로 예약을 시도하게끔 하여,

성공했을때 사용자에게 alert을 보여주는 형태로 만들었다.

그냥 예약 버튼을 누르는 노가다를 대신해준다고 생각해도 좋다.

아래 소스가 바로 그것인데, cookie는 로그인한 내 계정의 쿠키를 사용하고,

원하는 일정과 템플 코드를 적어 반복문으로 요청하게끔 되어있다. 보면 쉽게 알수있을것이다.

필요한분 댓글 달아주세요 : )

내용은

블로그 주제 / 이메일 주소(tistory ID가 될거예요) 달아주세요.

XSS(Cross Site Scripting)은 OWASP TOP 10에서도 몇년째 상위를 차지할 만큼

빈번하게 발생하고 강력한 취약점이다.

이 취약점은 사용자가 입력한 값을 검사하지 않고 사용하여, 악성 스크립트가 저장 혹은 실행 되어 나타나게 되는 문제점인데,

초창기에 공격자들은 XSS를 통해 쿠키값을 탈취하는 데에 사용 하였다.

XSS를 통해 document.cookie 값을 공격자의 웹서버로 전송한다던지 하는 방식으로 공격 하였으며,

이를 막기 위해 Explorer 6이상에서 부터 HTTP-only속성이 나오게 되었다.

HTTP-only 속성은 클라이언트의 스크립트가 쿠키에 엑세스 할 수 있는지 여부를 지정하게 되고,

이 속성이 설정되어 있다면 스크립트로 쿠키에 접근할 수 없게 되어, 공격자가 쿠키값을 탈취할 수 없게하도록 하였다.

이에 공격자들은 다른 방법을 사용하게 되었는데,

스크립트를 통해 패스워드 변경(현재 패스워드 확인이 없는경우),

아이디와 패스워드를 입력하는 폼을 만들어 방심하게 하여 탈취하는 경우등으로 공격하게 되었다.

예를 들면 아래 동영상을 들 수 있는데,

이 동영상에서 Salesforce.com 우측에 스크립트가 삽입 되는 것을 공격자가 확인하고,

기존 로그인 폼과 똑같은 화면을 제작하여, 삽입한 것인데 동영상을 보면 이해가 쉽다.

동영상 링크 : https://player.vimeo.com/video/135892408

출처: https://www.elastica.net/salesforce-accounts-susceptible-to-hijacking-using-xss-flaw

XSS의 진단 방법은 간단하다.

<img src=YPrefer onerror=alert(1)> 등의 간단한 스크립트 구문을 전송 구간의 모든 파라미터에 넣어보는 것이다.

이때 입력한 값이 그대로 돌아오거나, DB에 저장되어 나중에 조회시 출력이 된다면 XSS취약점이 있는 것으로 볼 수 있다.

스크립트 구문의 입력을 막기위해 개발자들이 XSS필터를 걸기도 하지만, 완벽하지 않는 경우가 많아.

XSS Cheat Sheet를 확인하여 여러방법으로 시도를 해보아야 한다.

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

코드패치 하는 방법은 여러가지가 있는데, IDA를 통해서 하는 방법을 알아보자.

IDA Option을 아래와 같이 설정해 준다.

중요한 부분이 Number of opcode bytes 인데 이것을 6byte로 해주면 OPCODE에 해당하는 HEX값을 확인할 수 있다.

위와 같이 옵션값을 설정해주면 아래처럼 HEX값을 확인 할수있는데,

오른쪽 버튼의 Syncronized With를 HEXVIEW와 연동해 주고, HexVIEW를 들어가면 자동으로 해당 HEX값의 위치를 찾아준다.

여기서 F2를 누르면 HEX값을 수정할 수 있고, 다시 F2는 누르면 수정한 값이 적용된다.

적용된 화면이다.

0F 85 (JNZ) 를 0F 84(JZ)로 코드패치 하여 바뀐 것을 볼 수 있다.

적용된 값은 Ctrl + W를 눌러 다른이름으로 저장을 하면, 변경이 적용된 바이너리가 새로 저장된다.

다른 방법으로는 OP CODE를 HEX값을 알아내어 WINHEX나 010EDITOR와 같은 hexviewer를 통해 열어 직접 수정해주는 방법도 있다.

중고 거래 앱  sellit

장점-가격을 어플에서 제시하고 물건이 판매되지 않으면 그가격에 구매해줌

- 물건 판매시 배송비도 어플에서부담

- 박스조차 준비해줌

단점- 제시금액이 높지않음

 하지만 게임이나 전자기기경우엔 적당한듯.

본인의경우 몬헌4 2장을 2만에 중고나라에 2달째 판매하다 실패했으나 셀잇을 통해 1만8천원에 판매.

프로모션코드 입력후 판매하면 1만 크레딧 제공

프로모션 코드 : cjyj

고프로로 3D 영상을 찍을수 있는 렌즈가 나왔다.

아직 얼리버드도 남아있고! 20일의 기간이 남아있는데도 불구하고 벌써 펀딩 금액의 312%가 모금된 걸 보면, 최근 비디오 녹화의 관심사는

3D 영상인게 확실해 보인다.

얼리 버드 가격으로 110$면, 우리나라 돈으로 약 13만, 포함되는 제품은 렌즈와 헤드셋(갤럭시 기어 같은거) 인데,

충분히 가격적으로도 메리트가 있어 보여서 무지무지 끌린다.

근데 난 고프로가 없단 말이지.(사실 쓸일도 많지 않고...)

액티브한 활동을 많이 하는 사람들에게는 매력적인 제품이 아닐수 없다.

인디고고 링크 : https://igg.me/at/VitrimaLens/x/13632351