[번역] 버그바운티 헌터 방법론 - 3. 메모와 세션 추적의 중요성 이 글은 버그바운티 플랫폼을 운영 중인 미국의 Bugcrowd 라는 회사에서 Senior Community Manager로 근무하고 있는 Sam Houston 이라는 사람이 Bugcrowd 공식블로그에 게시한 글을 번역한 것입니다.일치하지 않는 사항이나 오류가 있는 경우에는 영문 원본 을 참고하십시오. 원본은 여기에서 확인 가능합니다.버그바운티에 관심이 있으신 분은 페이스북 그룹 "Outside Hackers - 한국 버그바운티 헌터 모임"에 참여하세요. "버그바운티 헌터 방법론" 시리즈의 세 번째 글입니다. 오늘은 당신이 트위터에서 팔로우(@ZephrFish)할 수 있는 ZephrFish의 글입니다. 이 글을 모두 읽으시면 메모 및 세션 추적을 사용하여 버그바운티 헌팅을보다 성공적으로 수행하는 방법을 .. 더보기 [번역] 버그바운티 헌터 방법론 - 2. 범위의 중요성 이 글은 버그바운티 플랫폼을 운영 중인 미국의 Bugcrowd 라는 회사에서 Senior Community Manager로 근무하고 있는 Sam Houston 이라는 사람이 Bugcrowd 공식블로그에 게시한 글을 번역한 것입니다.일치하지 않는 사항이나 오류가 있는 경우에는 영문 원본 을 참고하십시오. 원본은 여기에서 확인 가능합니다.버그바운티에 관심이 있으신 분은 페이스북 그룹 "Outside Hackers - 한국 버그바운티 헌터 모임"에 참여하세요. 이 글은 "버그바운티 헌터 방법론" 시리즈의 두 번째 글입니다. 오늘 우리는 바운티의 범위, 공개 약관 및 규칙, 해킹할 때 가이드 등을 살펴보겠습니다. 의견이 있으시면 @Bugcrowd에 트윗하십시오 . 각 버그바운티에는 "범위(Scope)"라는 바운.. 더보기 [번역] 버그바운티 헌터 방법론 - 1. 시작하기 이 글은 버그바운티 플랫폼을 운영 중인 미국의 Bugcrowd 라는 회사에서 Senior Community Manager로 근무하고 있는 Sam Houston 이라는 사람이 Bugcrowd 공식블로그에 게시한 글을 번역한 것입니다.일치하지 않는 사항이나 오류가 있는 경우에는 영문 원본 을 참고하십시오. 원본은 여기에서 확인 가능합니다.버그바운티에 관심이 있으신 분은 페이스북 그룹 "Outside Hackers - 한국 버그바운티 헌터 모임"에 참여하세요. 이 글은 새로운 시리즈인 "버그바운티 헌터 방법론"의 첫번째 포스팅입니다. 앞으로 몇 주에 걸쳐, 우리는 보안 연구원이나 버그바운티 헌터가 되기 위해 도움이 될만한 정보와 리소스를 공유할 것입니다. 만약 여러분이 문의사항이 있다면 @Bugcrowd에 트.. 더보기 [스크랩] 악성 프로그램의 진화: 6개월간의 관찰 결과 (출처 : Cisco 2017 중기 사이버 보안 보고서) 출처 : Cisco 2017 중기 사이버 보안 보고서 中 악성 프로그램의 진화: 6개월간의 관찰 결과 시스코는 2017년 상반기에 악성 프로그램의 진화 과정을 관찰해왔으며, 그 과정에서 악성 프로그램 개발자가 유포, 난독화, 회피 등의 전략을 개발할 때 무엇에 가장 주력하는지 짐작할 몇 가지 동향을 발견했습니다. 동향 1: 사이버 범죄자는 위협이 활성화되도록 사용자에게 특정 방식의 긍정적 행동을 유도하는 악성 프로그램 유포 시스템을 사용하고 있습니다. 악성 프로그램 자동 탐지 시스템을 우회할 수 있는 악성 이메일 첨부 파일이 증가한 것으로 조사됐습니다. 샌드박스 환경에서 이러한 첨부 파일을 검사하더라도 악성이라는 증거가 나타나지 않습니다. 따라서 다음과 같은 콘텐츠가 사용자에게 전달될 수 있습니다. • .. 더보기 OSINT(Open Source Intelligence) 정보 수집-4 : Maltego를 통한 인물 정보 수집 지난 포스팅에서는 Maltego 도구의 사용법과 네트워크 정보수집을 살펴보았습니다. OSINT(Open Source Intelligence) 정보 수집-2 : Maltego 도구 개요 및 사용법 OSINT(Open Source Intelligence) 정보 수집-3 : Maltego를 통한 네트워크 정보 수집 오늘은 OSINT 도구인 Maltego와 관련된 마지막 포스팅으로 Maltego를 사용하여 특정 인물의 정보를 수집해보도록 하겠습니다.Maltego를 이용하면 대상인물의 이름을 통해 이메일 주소, 전화번호, 대상인물이 언급된 웹페이지, SNS 프로필 등의 정보를 수집하고, 대상 인물의 인간 관계도, 전화번호, 근무지 등의 더 많은 정보를 알아내거나 추측할 수 있습니다. 이렇게 알아낸 정보들은 사회공.. 더보기 OSINT(Open Source Intelligence) 정보 수집-3 : Maltego를 통한 네트워크 정보 수집 이번 포스팅에서는 지난 포스팅(바로가기)에서 말씀드렸듯이 OSINT 툴인 Maltego를 사용하여 특정 조직(법인,단체 등)의 네트워크 인프라 정보를 수집해보도록 하겠습니다. 타겟은 Maltego 제작사인 Paterva입니다. 그럼 바로 시작하겠습니다.독학한 내용을 바탕으로 정리한 포스팅이므로 혹시 내용상의 오류가 있을 수 있습니다.오류를 발견하신 분은 지적해주세요. 겸허히 그리고 감사히 받아들이고 더 연구해보겠습니다. Hands-On * 본 글은 칼리리눅스 2016.2 및 Maltego Kali Linux 4.0.18 버전 환경에서 작성되었습니다. Step 1. Maltego 실행 칼리리눅스에서 Maltegoce를 실행합니다.터미널에서 아래 명령어를 실행하여 Maltego를 시작할 수 있습니다. kal.. 더보기 OSINT(Open Source Intelligence) 정보 수집-2 : Maltego 도구 개요 및 사용법 지난 OSINT 정보 수집-1 편에서는 Netcraft 사이트, whois, nslookup 등의 명령어를 통해 네임서버 등 네트워크 관련 정보를 알아내는 법을 살펴보았습니다.정보수집은 타겟에 대한 가능한한 많은 정보를 모으고, 이를 분석하여 가장 취약한 포인트를 공략하는 것이 핵심입니다.하지만 인터넷상에 무수히 흩어져있는 정보를 일일이 수집하고 분석하는 것은 매우 수고스럽고 고통스러운 작업이며, 한계가 많습니다.이에 오늘은 이미 많은 분들이 사용해보셨고, 관련 포스팅도 올리셨던 Maltego 라는 OSINT Recon 도구에 대해 글을 써보려고 합니다.이번 포스팅에서는 Maltego의 동작구조와 사용자인터페이스 및 기본 조작법에 대해 살펴볼 것입니다. Maltego 개요 Maltego는 Paterva라.. 더보기 갤럭시S4에 칼리 넷헌터 설치 방법 안녕하세요. Mr.Rootable입니다.오늘은 NetHunter(넷헌터)를 설치하는 법을 주제로 포스팅을 해볼까 합니다. 넷헌터는 모의침투 테스트를 위한 칼리리눅스의 안드로이드 버전입니다. 일반적으로 NetHunter는 넥서스폰이나 OnePlus폰 등만 공식 지원된다고 알려져있었습니다.하지만 넷헌터 공식 GitHub 사이트(Here)를 통해 확인해본 결과, 제가 알고있던 공식지원폰 외에도 갤럭시 노트3, 갤럭시S7, LG G5 등도 다른 안드로이드 폰도 목록에 있었습니다.(넥서스5 등의 공식지원폰에 대한 설치법은 Whackur 님의 블로그(Here)를 참조하시기 바랍니다.)저는 단순한 개인적인 호기심과 실험정신, 또 몇년간 세상 빛을 보지 못하고 있던 제 갤럭시S4에 새생명을 불어 넣어주기 위해, 갤럭시.. 더보기 OSINT(Open Source Intelligence) 정보 수집-1 안녕하세요. Mr. Rootable입니다.모의침투의 첫 순서인 정보수집 단계에서 OSINT를 활용한 정보수집에 대해 정리해볼까 합니다.저도 학습을 병행하며 포스팅하는지라, 내용 중 일부 오류가 있을 수 있는 점 양해 바랍니다.오류를 발견하신 분은 지적을 해주시면 더 공부하여 수정토록 하겠습니다. OSINT란 Open Source INTelligence의 머리글자만 따온 단어로, 단어 그대로 오픈소스 인텔리젼스 혹은 오신트라고 불리기도 합니다. 일반적으로 공개정보 혹은 공개출처정보로 해석되지만 Intelligence 라는 단어(Information이 아닌)에 주목해볼 필요가 있습니다.Intelligence는 일반적으로 정보를 뜻하는 Information과는 함축적 의미가 다릅니다.Information은 단.. 더보기 [툴 소개] Arachni Web Scanner 도구 분석 및 사용팁 안녕하세요. Mr.Rootable 입니다.Arachni Web Application Security Scanner는 Ruby 언어 기반의 무료 웹사이트 취약점 점검 도구이며, 높은 탐지율을 자랑하는 도구라고 소개됩니다.SECTOOLMARKET 사이트의 Benchmark 결과에서 타 도구와 비교해 높은 성능을 자랑하네요.http://sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html 그래서 오늘은 가격도 착하고(무료) 성능도 좋은 이 Arachni 웹스캐너 도구를 설치하고 사용해보도록 하겠습니다.더 심도있게 테스트해보고 싶지만 생업에 시간을 쫓기다보니 간단하게 정리할 수 밖에 없는 점 양해 부.. 더보기 이전 1 2 3 4 ··· 6 다음