G2H

'분류 전체보기' 글 158건

1. Security Issue

   다크웹에 유출된 구글·애플·페이스북 로그인 정보 160억건 사건 정리

   사건 개요2025년 6월 중순, 보안 전문 매체 사이버뉴스(Cybernews) 연구진은 다크웹에서 유통 중인 30개의 대형 데이터셋을 발견했다고 발표했다.각 데이터 셋에는 수천만 건에서 최대 35억 건에 달하는 계정 로그인 정보가 들어 있엇으며, 모두 합치면 약 160억 건에 이르는 것으로 파악됐다. 해당 데이터에는 전 세계적으로 인기 있는 플랫폼 사용자의 계정 ID(이메일 주소 등)와 비밀번호를 비롯한 로그인 정보가 망라되어 있었으며, 구글(Google), 애플(Apple), 페이스북(Facebook), 텔레그램(Telegram) 등 주요 서비스 계정이 대거 포함된 것으로 드러났다. 규모 면에서 유출된 160억 건은 현재 지구상 인구의 두 배에 달하는 숫자로, 이론적으로는 인터넷 사용자 1인당 1개 이..

2. Web/Web Hacking Techniques

   LDAP Injection (Active Directory)

   LDAP?LDAP(Lightweigth Directory Access Protocol, 경량 디렉터리 액세스 프로토콜)은 디렉터리 서비스와 작용하기 위한 응용 프로토콜로, Active Directory(AD) 를 비롯한 여러 디렉터리 서비스에서 활용된다. AD는 조직 내 컴퓨터, 사용자, 그룹 등에 대한 인증과 권한 부여를 담당하는 핵심 윈도우 서비스이며, LDAP는 AD가 이러한 디렉터리 데이터를 조회하고 통신하는데 사용하는 "언어" 이다. 즉, AD에 저장된 사용자 계정 정보나 보안 정보를 다른 시스템이나 애플리케이션이 조회하려 할 떄 LDAP 프로토콜을 통해 질의와 응답이 이루어진다. 이렇듯, LDAP 및 AD는 기업 보안의 필수 요소이다. 현재 많은 웹 어플리케이션은 OAuth, JWT, SSO를..

3. Security Issue

   2025 YES24 해킹사건 정리

   2025년 6월 초, 국내 최대 규모의 온라인 서점 예스24(YES24)가 대규모 해킹 공격을 받아 서비스가 장기간 마비되는 사건이 발생했다. 이로인한 피해 규모는 약 2,000만 명에 달하는 회원들이 서비스를 이용하지 못하고 개인정보 유출 가능성에 대한 불안함을 자아냈다.사건 개요2025년 6월 9일 새벽경 발생한 랜섬웨어 공격으로 파악된다.랜섬웨어는 시스템을 감염시켜 데이터를 암호화한 뒤 금전을 요구하는 해킹 방식이다.예스24는 서버의 일부 데이터가 암호화 되고 웹 사이트와 앱 서비스가 중단되었다.햐커는 데이터를 복호화해주는 대가로 금전을 요구한 정황이 확인되었으며, 예스24측도 "회원 정보 일부가 암호화되어 자체 복구가 어려운 상황" 이라고 설명했다.날짜 및 시간 사건 경과 및 주요 내용날짜 및 시..

4. Web/Web Hacking Techniques

   Content Security Policy(CSP) Mechanism (feat.Bypass)

   CSP 기본 개념Content Securty Policy 즉, CSP라 불리는 콘텐츠 보안 정책은 웹 애플리케이션에 대한 클라이언트 측 보안 정책이다.웹 페이지에서 로드되거나 실행될 수 있는 리소스의 출처를 제어함으로써 XSS를 포함한 다양한 클라이언트 측 코드 삽입 공격을 방어하는 추가 보안 계층이다. 서버가 HTTP 응답 헤더에 CSP 규칙을 지정하면 브라우저는 해당 규칙에 따라 다양한 콘텐츠를 어떤 출처에서 불러올 수 있는지를 제한하게 된다. CSP 규칙에 위배되는 행위가 발생하면 브라우저 콘솔에는"Refused to execute inline script because it violates the CSP directive…"와 같은 오류가 표시된다. 즉, CSP는 신뢰된 출처로 명시된 리소스만 로..

5. 한줄보안

   Trusted Types (CSP)

   Trusted Types는 브라우저 수준에서 DOM XSS 공격을 차단하기 위한 CSP 기반 보안 강화 기능이며, 위험한 Sink에 문자열 삽입을 금지하고 신뢰된 정책 객체로만 DOM 조작을 허용하는 메커니즘이다.

6. Web/Web Hacking Techniques

   XSS(Cross Site Script) mechanism

   본 내용은 XSS가 어떠한 메커니즘을 통해 공격되고 우회되는지에 대한 내용이다.XSS에 대한 기본적인 내용은 아래 링크에서 확인 할 수 있다.https://hg2lee.tistory.com/entry/Cross-Site-Script-XSS Cross-Site Script (XSS)XSS란 무엇인가?동적인 처리가 이루어지는 웹 어플리케이션에서 공격자에 의해 조작된 악의적인 스크립트를 사용하여, 비정상적인 행위를 강제하게 하도록 하는 공격이며, 일반적으로 브라우저hg2lee.tistory.com서버/클라이언트 측 필터링 메커니즘과 우회 허점서버측에서는 요청을 처리할 때 "script, javascript:"등을 제거하거나 이스케이프 처리가 이루어지며, 브라우저 측 필터는 렌더링 전에 응답 내용 중 의심 패턴..

7. Web/Web Hacking Techniques

   Redis (Redis Injection)

   Redis란?Redis(Remote Dlctionary Server)는 In-Memory 기반의 Key-Value 데이터 저장소로, 초고속의 데이터 처리를 위해 메모리 기반으로 설계된 NoSQL 데이터 베이스이다.아래와 같은 특징을 가진다.오픈소스 (BSD License)싱글 스레드 기반비정형 데이터 구조 (String, List, Hash, Set, Sorted Set 등)캐시, 세션 저장소, Pub/Sub. Queue, 리더보드 등 다양한 용도로 사용됨고성능, 낮은 지연(latency), 높은 처리량(throughput)6379 포트 사Redis 구조Redis Server모든 요청을 처리하며, 데이터는 메모리에서 저장됨Redis Client다양한 언어로 클라이언트 라이브러리를 지원 (Python, G..

8. Web/Web Hacking Techniques

   MongoDB (MongoDB Injection)

   MongoDB란?MongoDB는 문서 지향 NoSQL 데이터베이스로, 일반적으로 사용되는 관계형 데이터베이스인 RDBMS와 달리 스키마가 없거나 느슨한 스키마를 가지며 JSON 형태로 데이터를 저장하는 BSON(Binary JSON) 형식을 사용한다MongoDB의 주요 특징특징 설명NoSQL 기반스키마 없는 구조로 데이터 유연성과 확장성이 뛰어남문서 지향데이터를 문서(Document) 형태로 저장하며 JSON 유사 구조BSON 포맷바이너리 JSON으로 데이터를 저장하여 속도와 효율성 증가수평적 확장성Sharding 및 복제(Replication)를 통해 분산 확장 지원인덱싱 및 성능효율적인 인덱스 구조로 빠른 쿼리 처리 가능복제 및 고가용성Replica Set을 통해 장애 대비와 고가용성 확보MongoD..