Este documento presenta una propuesta de negocio para un servicio de personal shopper que satisfaga las necesidades básicas de los clientes a través de la confianza, el tiempo y las expectativas de consumo. El servicio se enfocaría en empresarios de alto rango, grandes y pequeños artistas de 25 a 50 años e implementaría tecnologías como un sistema inteligente de interacción con el usuario, ventas electrónicas rápidas, catálogos y recomendaciones personalizadas de ropa.
As the first class of system security, We studied on usage of GDB. After finishing the description about GDB, We had the time of experimentation.
For the practice, you can join and download the file including two flags at http://cafe.naver.com/artofthings/2063.
El documento presenta una lista de productos electrónicos, electrodomésticos y accesorios para computadoras con sus respectivos precios, incluyendo cámaras, discos duros, gabinetes, heladeras, motherboards, teléfonos, tarjetas de video, televisores, procesadores y otros. Los precios van desde $42 hasta $32,000.
The new CIBSE guide TM56 aims to help engineers assess the whole-life environmental footprint of building services materials and products. It explains that focusing only on energy efficiency ignores other impacts like resource extraction, manufacturing emissions, and end-of-life impacts. While building services make up around 5% of initial embodied carbon for a building, they account for approximately 32% of embodied carbon over a 100-year life cycle due to maintenance, replacement and disposal. Considering whole-life impacts will help reduce costs, volatility, and environmental damage from mining and pollution.
Este documento presenta una propuesta de negocio para un servicio de personal shopper que satisfaga las necesidades básicas de los clientes a través de la confianza, el tiempo y las expectativas de consumo. El servicio se enfocaría en empresarios de alto rango, grandes y pequeños artistas de 25 a 50 años e implementaría tecnologías como un sistema inteligente de interacción con el usuario, ventas electrónicas rápidas, catálogos y recomendaciones personalizadas de ropa.
As the first class of system security, We studied on usage of GDB. After finishing the description about GDB, We had the time of experimentation.
For the practice, you can join and download the file including two flags at http://cafe.naver.com/artofthings/2063.
El documento presenta una lista de productos electrónicos, electrodomésticos y accesorios para computadoras con sus respectivos precios, incluyendo cámaras, discos duros, gabinetes, heladeras, motherboards, teléfonos, tarjetas de video, televisores, procesadores y otros. Los precios van desde $42 hasta $32,000.
The new CIBSE guide TM56 aims to help engineers assess the whole-life environmental footprint of building services materials and products. It explains that focusing only on energy efficiency ignores other impacts like resource extraction, manufacturing emissions, and end-of-life impacts. While building services make up around 5% of initial embodied carbon for a building, they account for approximately 32% of embodied carbon over a 100-year life cycle due to maintenance, replacement and disposal. Considering whole-life impacts will help reduce costs, volatility, and environmental damage from mining and pollution.
Internet Security Appliance for Drive by download protection.
한국 인터넷 환경에 대한 모니터링을 통한 감염 예방. 그리고 내부 감염 리스트의 확인.
감염예방 및 감염된 클라이언트의 탐지 식별에 특화된 차단 및 탐지 장비. Bitscan의 7년
이상의 PCDS 탐지 및 추적 결과가 축적된 서비스. ML의 일종인 연관관계분석으로 사고 발생 서비스에 대한 가장 빠른 탐지 가능.
C&C , Malicious Link , Malicious file, Detect Infected client
[2013 CodeEngn Conference 08] CherishCat - 각종 취약점과 대응방안 & 해킹, 보안 문제풀이GangSeok Lee
2013 CodeEngn Conference 08
보안사고는 사소한 취약점으로부터 시작되어 악용될 수 있다. Hard한 방법이나 별다른Hacking Tool을 사용하지 않은 간단한 발상으로 취약점을 찾아내어 보자. software부분과 Web Site부분에서 악용될 수 있는 여러 가지 취약점들을 실제 사례를 통해서 설명한다. 마지막으로 각종 해킹/보안 관련 문제들을 연습해볼 수 있는 War-Game사이트인 hack-me.org에 등록되어있는 문제들을 풀어본다. 국내외 해킹방어대회에서 다루는 문제들의 기반이 되는 기초적인 접근방법을 hack-me_Challenges를 통해서 입문자들도 알기 쉽게 각 문제유형들을 알아본다.
http://codeengn.com/conference/08
This document provides an analysis of the Hyperledger codebase. It begins with introductions and preliminaries on Hyperledger, including programming languages, databases, cryptography, and infrastructure used. It then discusses the architecture, including components like peers, orderers, chaincode, and consensus algorithms. The document analyzes the code hierarchy and structure, including directories and source lines. It describes the command composition for peer and orderer commands. Finally, it provides details on peers, including the node startup process, ledger initialization, the GRPC server, and block implementation.
The document discusses Bitcoin and Ethereum. It describes how Bitcoin uses proof-of-work mining to validate transactions and add new blocks to the blockchain, providing incentives through block rewards and transaction fees. It also describes Ethereum's ability to run smart contracts through a Turing-complete scripting language, allowing developers to encode arbitrary state transition functions and create decentralized applications. The key differences between the two are that Ethereum supports Turing-completeness, non-value-blind contracts, multi-stage states, and access to blockchain data through its virtual machine.
The document discusses Go programming style and conventions. It covers topics like formatting, comments, naming conventions, control structures, functions, data types, initialization, methods, interfaces, concurrency, and errors. The goal is to explain idioms and best practices for writing effective Go programs that are clear, readable and maintainable.
OneM2M is an IoT platform standard that defines common service functions for connecting various IoT devices and enabling new services. The document discusses OneM2M's security architecture which includes security function, environment abstraction and secure environment layers. The security function layer provides identification, authentication, authorization, security association and other functions to protect sensitive data and functions.
The document discusses the interaction between a device, broker, platform and cognitive framework. It describes how the device connects to the broker using WiFi and then interacts with the broker, platform and cognitive framework. It also mentions services provided by the broker to the device.
OneM2M is a standard that defines an architecture for M2M and IoT. It allows for interoperability between devices and networks from various vendors. The document discusses OneM2M's common service functions like data management, device management, and security functions. It also covers OneM2M's security framework, identifiers, and how it can interconnect with other protocols like AllJoyn and LWM2M.
The document introduces exploitation and provides an overview of key concepts for understanding exploitation, including CPU registers, stack memory, and function flow. Specifically, it discusses (1) what exploitation is and its goals of getting actions to perform, (2) important study points like CPU registers and understanding the stack, and (3) how the stack stores information for functions and passes arguments between them.
The document outlines the stages of a penetration test on a demo website http://demo.testfire.net. It discusses: 1) introduction to penetration testing and the test site; 2) pre-ready activities like setting the target and crawling; 3) exploitation techniques such as acquiring sensitive data, directory listing, SQL injection; and 4) reporting vulnerabilities found. The document provides details on specific exploitation methods and vulnerabilities discovered during the test.
This document discusses Subversion (SVN), including the SVN cycle of checking code into a repository, updating to different versions, and committing changes. It also covers setting the SVN editor, checking into and updating from repositories, committing new and deleted files, and tools for SVN. Precautions mentioned include making backups and avoiding conflicts when multiple users make changes.
This document contains summaries of cyber security and IoT security topics including exploitation techniques like buffer overflows and shellcode, web vulnerabilities like SQL injection and cross-site scripting, network security topics such as IoT architecture and device security, and analysis methods for evaluating threats. It outlines common attacks and defenses for various technologies and provides overviews of trends in security research.
wordpress with nginx on virtualization, jailJongseok Choi
This document describes how to set up a FreeBSD jail to host a WordPress site using Nginx and PHP-FPM. It includes steps for creating the jail using ZFS, installing a FreeBSD base system, configuring network interfaces and jail, installing Nginx, PHP-FPM, MySQL, and WordPress, and configuring the web server and database. The host system is configured to proxy and route requests to the jail using Nginx and PF.
The document discusses virtualization technologies including application virtual machines, virtual environments, and jail virtualization using FreeBSD. It provides steps for creating a FreeBSD jail within a ZFS filesystem for virtualization and isolation of operating system instances. Configuration options are also listed to enable and customize the jail.
2. 웹해킹이란 ? –
웹 사이트의 취약점을 공격하는 기술적 위협으로, 웹 페이지를 통하여 권한이 없는 시
스템에 접근하거나 데이터 유출 및 파괴와 같은 행위를 말한다. –Wiki
좀더 넓게 보면 HTTP(80), HTTPS(443) 등의 웹 서비스 포트만을 이용해서 공
격하는 것을 의미
여러가지 기술들.
파일 업로드 취약점, 파일 다운로드 취약점, 파일 트레버싱(Traversing) 취약점, 파일 리
스팅 취약점, 파일 인클루드 취약점(LFI, RFI)
Sql Injection
Command Injection
Cross Site Scripting, Cross Site Request Forgery
아파치 등의 인증 우회
DB의 특징 및 약점을 이용한 공격(Text Field Over Flow, Case Insensitive)
웹페이지 언어(php, jsp, asp 등)의 함수의 취약점을 이용한 공격
정보 노출 취약점.
등등………. 많음
Webhacking의 기술들
3. SQL Injection은 응용프로그램 보안 상의 허점을 의도적으로 이용해, 개
발자가 생각지 못한 SQL문을 실행되게 함으로써 데이터베이스를 비정
상적으로 조작하는 공격 방법이다. – Wiki
구지 Sql Injection의 종류를 나누자고 하면
일반적인 Sql Injection
Blind Sql Injection
Error Based Sql Injection
Time Based Sql Injection
Indirect Sql Injection
Sql Injection을 막기 위한 가장 최고의 방법은 아에 사용자의 입력이 곧
바로 쿼리 문에 들어갈 수 없도록 애초에 차단하는 것이 최고의 방법
필터링을 통해 막는 방법은 필터링 우회방법이 나오거나 필터링 함수의
취약점이 나올 경우 공격 당할 수 밖에 없음
아직도 Sql Injection공격은 많은 사이트에 유효함.
Sql Injection
4. 2014년 3월 12일 짜로 올라간 CVE 취약점 – GnuBoard 관련 취약점
(GnuBoard도 CVE에 올라간다니………..)
최신 취약점 같아 보이나, 사실은 GnuBoard사용자가 적어서 아무도 공격을
안하기 때문에 발견된 버그 – 만약 사용자가 Wordpress 급으로 많았다면 이
미 발견되었을 것이고, GnuBoard는 살아남지 못했을거 같네요.ㅎ
Sql Injection을 통해 공격 가능
Error 기반의 공격, 파일
저장 공격 – GnuBoard
2014년 2월 24버전
http://192.168.235.129/GnuBoard/g5‐5.0b23/
bad_user/123qwe
Sql Injection – CVE 2014‐2339
5. ajax.autosave.php 안에 쿼리를 날리는 부분에서 발생 – 자동저장을 지원해
주는 php 파일
Stripslashes 함수 addslash인해 생긴 를 제거해주는 함수
정상적인 파일의 접근인지를 확인 하지 않는 것에서 부터 취약점 발생
Sql Injection이 생기는 구문이 있다는 것 자체가 가장 큰 취약점
취약한 부분
6. Cross Site Script(XSS)의 일종(?)으로, 열람하는 사람으로 하여금 스스로
쿼리를 날려서 공격자가 원하는 행동을 하도록 하는 공격
사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제,
등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. – WIKI
XSS는 사용자의 세션정보, 개인정보 등을 공격자의 서버로 보내도록 하
여 그 정보를 빼내거나 공격자의 서버로 중요 정보를 빼돌리는 것에 중
점이 있고, CSRF의 경우는 피해자가 의도치 않은 행동을 하도록 하는것
에 중점을 두는 차이가 있다.
사실 정확한 구분을 어떻게 해야 하는 건지 저도 잘………
Cross Site Request Forgery
9. 웹 해킹은 일반적으로 게시판이나 페이지의
관리자 권한을 얻는 것이 최종 목적
80번 포트 1개만 열려 있어도 공격이 가능함
일부 위험한 취약점의 경우 쉘 을 획득하거나
파일을 업로드/인클루드 할 수 있는 등의 행동
까지 가능
웹은 거의 모든 사람들이 이용하고 있기 때문
에 약한 취약점이라 할지라도 파급력 면에서
강력함
그래서 열심히 공부해야됨
마지막장