반응형 전체보기44 아까워서 올리는 HITB 이메일 인터뷰 내용 2018년도 4월, HITB AMS(HackInTheBox - Amsterdam) 컨퍼런스에서 리서치 내용을 발표 할 수 있는 좋은 기회가 있었다. 당시에 이메일 인터뷰를 했는데, 어디 실리기는 한건지 도무지 찾지 못했다. 아까워서 블로그에 남긴다. 컨퍼런스 운영 측을 통해 아래와 같은 인터뷰 요청을 전달 받았다. Freebuf라는 중국 매체라는데.. 뭐 딱히 문제되는 부분은 없으니 OK 했고, 발표가 끝난 뒤 답변을 주기로 했다. (발표 끝나기 전까지는 정신 없을것 같아서 ㅎ) 그리고 질문을 받았는데, BoB에 대한 질문이 상당 부분을 차지했다. 중국 사람들이 BoB에 관심이 있다는 점이 신기했다. 아래는 인터뷰 내용! (미안, 다 영어..) 과연 내가 열심히 작성한 답변은 Freebuf에 실리긴 한걸.. 2020. 3. 28. Alexa forensics 논문 정리 Digital forensic approaches for Amazon Alexa ecosystem 논문 정리 내용. [논문] https://www.sciencedirect.com/science/article/pii/S1742287617301974 • [Introduction] 알렉사에서 Cloud-native artifact를 수집할때 겪는 어려움: 1. 클라우드에 접근하기 위해서 user account가 필요함 2. 클라우드에서 삭제된 정보는 복구하기가 어려움 그래서 client-side 포렌식도 해야함 CIFT는 unofficial API들을 사용해서 알렉사에서 cloud native 아티펙트를 수집하고, 웹앱을 사용할때 생성되는 client side 아티펙트를 분석할 수 있음. • [Alexa ec.. 2020. 3. 28. 소스코드 취약점 분석, 소스코드 취약점 유형 01 소스코드 취약점 분석 보안 취약점을 찾는 2가지 방법; Black Box Testing 웹 어플리케이션의 소스코드를 보지 않고, 어플리케이션의 외부 인터페이스 구조를 분석하여 취약점을 발견하는 방식 장점 : White box testing 보다 취약점을 찾는 속도가 빠르고 다양한 취약점 공격을 시도할 수 있다. 또한 인터페이스 간의 상관관계 분석을 통해 취약점이 발생 할 수 있는 부분을 식별할 수 있다. White Box Testing 개발된 소스코드를 살펴봄으로 코드 상의 취약점을 찾는 방식 장점 : 소스코드를 볼 수 있기 때문에 보안 취약점의 존재 유무를 더 확실히 알 수 있다. 하지만 소스코드를 일일이 검토하면 시간이 많이 소요된다. Gray Box Testing - Black Box Test.. 2020. 3. 28. 웹 보안의 기본 요소 - 인증, 접근 통제, 입력값 검증 01 사용자 인증 패스워드 공인인증서 공인인증서는 전자 서명의 검증에 필요한 공개키에 소유자 정보를 추가하여 만든 일종의 전자 신분증이다. 비밀번호처럼 단순한 한개의 정보가 아닌 공개키와 비밀키의 쌍을 이용하여 사용자를 인증하는 공개키 기반 구조(PKI : Public Key Infrastructure) 매커니즘을 사용한다. 공개키 기반 구조는 공개키와 비밀키 쌍을 생성하여 공개키는 와부에 공개하고 비밀키는 소유자 자신만 가지고 있으면서 다른 사람이 공개키로 암호화한 내용을 자신의 비밀키로 복호화하는 방식이기 때문에 사용자의 신원 인증을 강화할 수 있다. 생체인증 (Biometric authentiication) 사용자 인증을 위한 가장 강력한 방안이다. 사람 그 자체를 인증수단으로 사용한다. 생체인증 .. 2020. 3. 28. 이전 1 ··· 3 4 5 6 7 8 9 ··· 11 다음 반응형
