기술과 일상

파티엘하우스 평촌 돌잔치 사전답사 (39층 뷰좋음)

tech-dailylife — Thu, 23 May 2024 21:12:29 +0900

당일 계약해브렸다~

가계약금은 30만원이고, 계약일로부터 2주까지는 전액환불이 가능하다.

당일 계약시 제공되는 혜택들이 꽤 많음.

스냅촬영원본형제공+엄마아빠 헤어메이크업 제공

음식은 먹어보지 못해서 42000원~44000원정도 하는데 만족도는 당일 먹어봐야 알 것 같다.

돌잔치 홀 분위기는 만족스러웠다. 시원시원한 큰 창들도 그렇고 내부 홀분위기도 괜찮았다. 고급스러운듯

39층이라 뷰가 좋다.

빠방이 타고 입장하는 것도 기대된다.

30명 보증인원으로 예약을 했더니 44000원정도가 식대였고

50명 이상인가?부터는 42000원이라고 한다.

이 것도 당일계약의 혜택이였던거 같다.

빠듯하게 거의 행사 한 두달전에 예약하느라 시간대가 1부, 2부, 3부 중에 3부만 남아있었다.

3부는 6:30-9:00 타임이라 중간부터는 아기도 졸려할것이고 손님들도 피곤할것 같은 아쉬움이 크다.

최근에 새롭게 포토존을 만들었다고 한다. 원형이 그것.

주차제공도 훌륭하다. 자리도 많고 손님들마다 3시간씩 넣어줄수있다는 듯.

지하철로 와도 평촌역이든 범계역이든에서 걸어올만한 위치다

[과천 맛집] 화이트캐롯 수제케이크&아메리카노 카페 후기

tech-dailylife — Sun, 12 Mar 2023 18:52:03 +0900

과천 에코팰리스 쪽에 있는 화이트캐롯 벼르고 벼르다 토요일 오전 시간을 겨우내서 방문했다.

딸기생크림커스터드와 초코녹차케이크랑 아이스아메리카노 주문했다.

아메리카노는 가격이 저렴한데도 (4000원) 맛이좋았다^^

케이크가격이 있다보니 음료에서 세이브되니 기분이 좋았다.

딸기커스터드는 넘너무 맛있었다. 원래 딸기생크림케이크를 좋아하는데, 커스터드에 박힌 바닐라빈향기까지 좋다. 적당한 달달함!

초코케이크는 없어서 대신 주문한 초코녹차케이크는 녹차크림의 향이 진하지만 맛있었다. 끝맛이 깔끔한 초코다.

오늘 먹은거 말고도 여러가지 케이크가 남아있어서 주말마다 산책하면서 방문해 하나씩 맛볼 계획이다. 가까이에 잘 만드는 맛있는 수제케이크집이 있어서 행복하다.
주차가능: 정문으로 입장해서, 상가방문-화이트캐롯 선택하고 입차하면 됨!

평화로운 오후 수제케이크에 커피한잔, 추천입니다!!

[면접 합격 수기] 정보관리기술사

tech-dailylife — Fri, 3 Sep 2021 22:00:09 +0900

필기 합격 수기는 학원에도 기재를 해둬서 블로그에도 작성해뒀는데요.

조회수가 은근히 있어서 도움이 되실수 있을 것 같아 면접 합격 수기도 오래지났지만 작성하겠습니다.^^

[학습 기간]

면접(2차) 기준 1~2개월 (1회차)

20년 3월~5월 : KPC 필기합격자 스터디, KPC 심화반 지원, 선배 기술사 지원

[학습 방법]

1. KPC 필기합격자 스터디

KPC 중급반 출신의 합격자 모임을 만들어서 스터디를 진행했습니다. 7명이서 진행을 했고 매주 토요일마다 학원 빈 강의실에서 만나서 진행했습니다. 7~8회정도 만난 것 같아요.

초기 1~2주에는 우선 개인이력카드 작성을 하고 서로 보완할 부분을 개선해나가면서 진행을 했습니다.

2주차부터 어느정도 완성된 개인이력카드를 기반으로 한 모의면접을 서로서로 해줬습니다.

매주 반복되면서 이력카드 기반이 아닌 토픽 기반으로도 모의면접 질문을 추가해서 진행을 했고, 7명이기 때문에 그룹을 2개로 나눠서 3명(또는 2명) 면접관을 구성하여 서로 면접을 진행했습니다.

중간에 한 번 전 기수 기술사님 두 분께 부탁드려서 면접을 좀 더 긴장감 있게 진행도 해봤구요.

중반부터는 모의면접 이외에도 토픽을 서로서로 평일에 정리해와서 공유하고 리뷰하는 시간도 가졌습니다.

매주 반복되는 모의면접 스터디로 실전 면접에서 좀 더 긴장하지 않게 되는 효과가 분명히 있었고요.

물론 운도 따라주었겠지만, 모두가 매주 만나서 좌절과 극복을 반복 경험하며 열심히 한 결과 7명 모두 한 번에 합격해서 동기 기술사가 되었습니다.^^

2. KPC 심화반 지원

KPC 학원에서 심화반 FB반에서 필기 공부하여 합격했기 때문에 FB반의 멘토님들이 면접까지 지원해주셨습니다. 학원을 다녀서 필기 공부해야 할 많은 이유가 있지만, 역시 면접까지 도와주시는 것이 또 하나의 빼놓을 수 없는 장점입니다.

매주 토요일에 필기합격자들끼리 스터디를 하기 전에 아침 9시에는 심화반 멘토님들 두 분께 모의면접을 받았습니다. 같은 필기 합격자들끼리 하는 것보다 이미 합격하고 학원에서 노하우를 가지고 계신 멘토님들이 지원해주시니까 아무래도 더 긴장감 있고 도움이 많이 되었습니다. 매주 질문의 강도가 높아진 것 같았고 그만큼 좌절도 했지만 고쳐야 할 부분을 세세하게 코치해주셔서 한 번에 붙을 수 있었습니다. 또 심화반 출신 기술사님들의 준비 자료를 공유받는 것도 도움이 많이 되었습니다. 도와주신 많은 선배 기술사님들과 두 분 멘토님께 정말 감사드립니다.^^

3. 선배 기술사 지원

학원과 별개로 전 기수 기술사 선배를 주축으로 한 선배분들의 지원이 전통적으로 내려오고 있습니다. 포스트 코로나 시대가 되었기 때문에 매주 2회씩 온라인으로 1:1 매칭이 되어 지원을 해주셨고 최대한 많이 참여해서 얻을 것을 얻어갔습니다. 많은 선배들을 만나다보면 개인 스타일이 있어서, 저한테 맞는 방법을 골라서 습득했고 모든 모의면접에서 이력카드에 대한 예상 질문을 뽑는 것을 기본 목표로 참여했습니다. 너무 감사했고, 도움을 받은만큼 저도 합격한 후에 선배 기술사로서 모의면접을 지원해드려서 조금이나마 은혜를 갚았습니다.^^

4. 학원 공식 모의면접

학원마다 모의면접을 공식적으로 1회씩 진행하는 것 같네요. KPC는 물론 참여했구요. 타학원의 모의면접도 소액을 내고 참여할 수 있는 경우가 있어서 참여했습니다. 매주 같은 분께 모의면접을 받다보면 스스로 안일해질 수 있는데 그럴 때 실전처럼 한번 더 상기시키기 좋은 것 같습니다. 그리고 타 참여 면접자들의 모습도 볼 수 있는 경우도 있어서 더 긴장감이 들고 하고 나면 더 열심히 해야겠다는 생각이 들어 참여하면 좋은 것 같아요.

[학습 전략]

1. 빠른 이력카드 완성

이력카드를 빨리 완성해야 예상 면접 질문을 뽑아내고 준비할 수 있고, 그 다음 기본토픽들도 다시 볼 수 있습니다.

빨리 멘토링을 받고 기준을 명확히 정해서 완성 하는게 좋습니다.

2. 자기소개와 포부 준비

자기소개와 포부는 거의 대부분이 진행되기 때문에 무조건 철저하게 준비해야 합니다. 툭치면 자동으로 나오게 해야한다고들 하셔서 저도 출퇴근 길에 또는 중간중간 쉴 때 시간 날 때마다 말로 소리를 내면서 반복해서 연습했습니다. 자기소개도 다양한 형식으로 준비하기도 하는데 저는 하나를 확실히 준비하고 그 걸 상황따라 변형해서 말할 수 있게 키워드 기반으로 생각하며 익혔습니다.

3. 열정적으로

위에 말씀 드린것 처럼 이력카드 기반으로 준비를 했고, 기본토픽 기반으로도 그 후에 준비했습니다. 그리고 외울 것들 기술사 윤리강령 등 잘 외워서 갔습니다.

[면접 전략]

1. 자신감

무조건 자신감있는 목소리로 (마치 신입사원 입사 면접 처럼)

2. 겸손

면접관님 의견에 공감도 하며 소통하듯이 답변

면접 당일에 일찍 도착해서 분위기를 좀 보고 긴장감을 줄이려고 했었고, 실제 이력카드 기반의 질문보다는 토픽기반의 질문을 받아서 어렵다고는 생각이 들었지만 그래도 최대한 답변을 하려 했고 제가 생각한 2가지 전략대로 응했습니다.

20분이 기준시간인데 24분정도 진행을 했고, 잘 모르겠다고 답변한 문제는 없었습니다. 어떻게라도 답변했습니다. 답변을 하면 면접관님은 또 추가 질문을 하며, 서로 대화하듯이 했던것 같고 그래서 그런지 분위기가 나쁘지 않았습니다. 그래서 어떤 문제는 좀 생각하고 있었는데 힌트도 주신 것 같네요.

후회없는 면접이라 생각해서 끝난 후에 기분이 좋았고요. 그래서 결과도 역시 좋았습니다.

[시험결과]

발표 당일에 (필기 발표만큼은 아니였지만) 꽤나 떨렸고요.

확인 결과, 67.66점으로 합격이였습니다.^^

[마지막 한마디]

필기 합격하신 분들은 모두 뛰어난 분이신 것 같아요. 혹시 면접을 떨어지셨더라도 운이 없다 여기고 다시 열심히 하셔서 언젠가 좋은 인연으로 뵙기를 바라겠습니다.^^

[웹 모의해킹] 디렉토리 인덱싱(디렉토리 리스팅) 보안취약점 점검 코드

tech-dailylife — Thu, 29 Jul 2021 17:55:16 +0900

일상이든 회사업무이든 반복적인 일을 하다보면은 간단한 코드 몇 줄로 개선해보고 싶어집니다.

그럴 때마다 하나씩 짧게나마 만든 코드를 가볍게 포스팅 하려고 합니다.^^

[작성배경]

이번에는 디렉토리 인덱싱(또는 디렉토리 리스팅) 보안취약점을 점검하는 코드를 포스팅합니다.

이 취약점은 디렉토리 경로까지만 입력했을 때, 디렉터리 리스트가 출력되는 취약점으로 쉽게 확인이 가능합니다.

참고로 구글 검색엔진에서 intitle:index of 라고 키워드를 사용하여 검색하면 이 취약점이 있는 여러 사이트 페이지가 나옵니다. 디렉터리 경로와 경로 내에 있는 파일들을 쉽게 확인할 수 있어, 파일이 유출되거나 시스템이 분석되기 쉬운 취약점이라고 할 수 있습니다.

실제 확인하는 방법은 step1)에 가깝습니다. 디렉터리 경로까지만 입력하여 주소표시줄에 호출하면 리스트가 나타나는지 확인하면 끝입니다. 사이트가 많을 경우 일일히 하기 번거롭기 때문에 코드로 자동화를 좀 시켜서 쓰면 유용할 것 같네요.

[소스코드]

코드는 py파일에 작성하여 cmd에서 테스트했습니다. 마찬가지로 기본적으로 사용하는 requests 라이브러리와 브라우저를 조작하기 위한 selenium 라이브러리를 설치하셔야 합니다.

[상세설명]

주요한 프로그램의 동작 구성은 아래와 같이 작성되었습니다.

1. 점검 url을 텍스트 파일에서 읽어옵니다.

하나씩 불러와서 점검합니다. 텍스트 파일에는 URL 경로를 넣어두면 좋고요. URL 경로 깊이가 좀 긴 내용을 넣는 것이 좋을 것 같아요.

2. 입력된 url을 / 단위로 잘라가면서 상위 경로로 이동하며 한 번씩 요청을 보냅니다.

http://127.0.0.1:8001/dvwa/vulnerabilites/spli/ 의 경우

http://127.0.0.1:8001/dvwa/vulnerabilites/spli/

http://127.0.0.1:8001/dvwa/vulnerabilites/

http://127.0.0.1:8001/dvwa/

http://127.0.0.1:8001/

까지 4번의 요청을 보냅니다.

3. 각 요청에 대한 응답 메시지에 index of가 나타나는지 확인합니다.

디렉터리 인덱싱의 취약 페이지 패턴인 index of를 검색합니다.

4. 필요한 점검 결과와 로그를 출력합니다.

콘솔에는 대상 URL에 대해 점검URL과 점검결과, 취약할 경우 증적파일 경로를 출력했습니다.

아래 warnning의 경우 ssl 관련 경고인데, verify를 false로 해서 에러가 아닌 경고만 나도록 했고요. 이 경고 문구가 거슬리기 때문에 txt 파일에서 확인하면 더 깔끔합니다.

텍스트 파일과 이미지 파일을 생성하여 결과를 쉽게 확인할 수 있게 만들었습니다.

먼저 텍스트 파일에는 콘솔에 출력한 내용을 그대로 저장해뒀습니다. 경고는 저장 안되니 더 깔끔하죠.

취약 또는 확인 필요한 경우의 점검 결과 생성된 이미지를 저장하고, 그 이미지를 웹에서 자동으로 열리게 해놓았습니다.

아래는 취약한 케이스로 디렉터리 인덱싱 취약점 화면을 볼 수 있습니다.

[웹 모의해킹] 위치 공개 (샘플 페이지 존재 여부) 보안취약점 점검 코드

tech-dailylife — Tue, 27 Jul 2021 14:52:49 +0900

일상이든 회사업무이든 반복적인 일을 하다보면은 간단한 코드 몇 줄로 개선해보고 싶어집니다.

그럴 때마다 하나씩 짧게나마 만든 코드를 가볍게 포스팅 하려고 합니다.^^

[작성배경]

이번에는 위치 공개 취약점을 점검하는 코드를 포스팅합니다.

위치 공개 취약점 중에 step2에 해당하는 샘플 페이지 존재 여부를 확인하는 점검 코드 입니다.

샘플 페이지를 통해 위치가 공개되어 위치 공개일까 싶습니다만, 아래 가이드 내용입니다.

[소스코드]

코드는 이전 포스팅까지는 주피터 노트북에서 작성을 하였지만, 사실 컨설팅에 사용하다보니 local로 들고 들어가야하기 때문에 결국 cmd에서 실행시키는 것이 편하더라고요. 그래서 그냥 py파일에 작성하여 cmd에서 테스트했습니다. 마찬가지로 기본적으로 사용하는 requests 라이브러리와 브라우저를 조작하기 위한selenium 라이브러리를 설치하셔야 합니다.

[상세설명]

주요한 프로그램의 동작 구성은 아래와 같이 작성되었습니다.

1. 점검 url을 텍스트 파일에서 읽어옵니다.

입력 파일로 사용되는 url.txt에 위치공개 취약점을 확인하기 위한 URL들을 입력해둡니다.

2. 입력된 url에 /phpinfo.php와 /index.html 을 각각 붙여 요청을 보냅니다.

사실 샘플페이지 경로가 가이드에 나오지 않아 인터넷 검색을 통해 확인했는데, 부족한 부분이 있습니다. 나중에 보완해야겠습니다.

3. 각 요청에 대한 응답 메시지에 특정 패턴(php version등)가 나타나는지 확인합니다.

샘플 페이지를 나타내는 패턴들을 검색하여 취약 여부를 판단합니다.

패턴들을 정의하다보니.. 조금 귀찮아서 하드코딩 형식으로 패턴을 넣었고 직관적으로 코드를 짰습니다..

4. 필요한 점검 결과와 로그를 출력합니다.

콘솔에는 대상 URL에 대해 점검URL 각각의 정보와 그 때마다 취약하거나 확인이 필요한 경우의 결과와 증적 파일 정보를 차례로 출력했습니다.

텍스트 파일과 이미지 파일을 생성하여 결과를 쉽게 확인할 수 있게 만들었습니다.

먼저 텍스트 파일에는 콘솔에 출력한 내용을 그대로 저장해뒀습니다.

취약 또는 확인 필요한 경우의 점검 결과 생성된 이미지를 저장하고, 그 이미지를 웹에서 자동으로 열리게 해놓았습니다.

아래는 취약한 케이스로 Apache2 Debian의 샘플 페이지가 노출이 되고 있는 것을 확인할 수 있습니다.

아래는 취약한 케이스로 php의 샘플 페이지가 노출이 되고 있는 것을 확인할 수 있습니다.

(참고로 try catch문을 사용해서 일부 작동하지 않은 서버에 대해 점검할 경우 에러가 나면 프로그램이 멈추는 문제를 해결해두었습니다. 이전 포스팅까지의 점검 코드도 사실 예외 처리가 필요합니다.)

[웹 모의해킹] 에러 메시지(페이지) 정보누출 보안취약점 점검 코드

tech-dailylife — Mon, 26 Jul 2021 14:27:20 +0900

일상이든 회사업무이든 반복적인 일을 하다보면은 간단한 코드 몇 줄로 개선해보고 싶어집니다.

그럴 때마다 하나씩 짧게나마 만든 코드를 가볍게 포스팅 하려고 합니다.^^

[작성배경]

이번에는 에러 메시지나 에러페이지를 통해 서버 정보가 누출되는 취약점을 점검하는 코드를 포스팅합니다.

404 Not Found 등 400번대 에러나 500번대 에러가 발생되었을 때, 서버 정보가 누출되는지 확인하는 작업은 모의해킹을 할때 비교적으로 기술적인 요소가 아니지만 그래도 꼭 점검해야하는 항목입니다.

그렇기 때문에 수동으로 작업하기보다는 간단한 코드로 하려고 시도해봤습니다.

[소스코드]

코드는 주피터 노트북에서 작성을 하였고요. 기본적으로 사용하는 requests 라이브러리와 브라우저를 조작하기 위한selenium 라이브러리를 설치하셔야 합니다.

[상세설명]

주요한 프로그램의 동작 구성은 아래와 같이 작성되었습니다.

1. 점검 url을 텍스트 파일에서 읽어옵니다.

입력 파일로 사용되는 url.txt에 정보누출 취약점을 확인하기 위한 URL들을 입력해둡니다.

2. 입력된 url에 임의문자열(404error)를 붙여 request 요청을 보냅니다.

404 Not Found 에러를 발생시키기 위해 존재하지 않는 경로로 요청을 보냅니다. 사실 경로 뿐만 아니라 파일로도 보내는 것도 필요할 수도 있을 것 같아 보이지만 우선 경로만 추가시켜봤습니다.

그리고 404 이외에 403, 503, 400 등 다른 에러코드도 발생시키는 코드를 추 후에는 추가할 예정입니다.

3. 각 요청에 대한 응답 메시지에 특정 패턴(apache 등)가 나타나는지 확인합니다.

apache tomcat, jboss 등 다양한 웹서버(WAS 포함)에 대한 노출에 대해 if elif 를 통해 확인합니다.

실제 사용하면서 누락된 웹서버 오류메시지도 추가할 예정입니다.

4. 필요한 점검 결과와 로그를 출력합니다.

콘솔에는 점검한 URL 정보, 에러 코드, 점검 결과, 증적 파일을 차례로 출력했습니다.

(에러 코드는 불필요하지만 혹시 404가 아닐 경우가 나타날까봐 임시로 출력해뒀습니다.)

텍스트 파일과 이미지 파일을 생성하여 결과를 쉽게 확인할 수 있게 만들었습니다.

먼저 텍스트 파일에는 콘솔에 출력한 내용을 그대로 저장해뒀습니다.

점검 결과 생성된 이미지를 열어보면(자동으로 열리게 해놓았습니다.), 실제 취약한지 아닌지 확인할 수 있고 취약하다면 보고서에 그대로 넣으면 효율적입니다.

아래는 취약한 케이스로 서버 정보(Apache 2.4.46 Debian)가 노출이 되고 있는 것을 확인할 수 있습니다.

아래는 양호한 케이스로 사용자가 정의한 에러페이지로 나타납니다.

[웹 모의해킹] URL 강제접속/강제접근 보안취약점 점검 코드

tech-dailylife — Thu, 22 Jul 2021 15:31:58 +0900

일상이든 회사업무이든 반복적인 일을 하다보면은 간단한 코드 몇 줄로 개선해보고 싶어집니다.

그럴 때마다 하나씩 짧게나마 만든 코드를 가볍게 포스팅 하려고 합니다.^^

[작성배경]

주요정보통신기반시설 가이드 중 아래 내용에 대해 한정적이지만 효율적으로 취약점을 찾기 위해 작성해봤습니다.

실제 모의해킹을 할 때, 시간적인 제약 때문에 반복적인 확인을 전부 하지 못하는 데, 코드를 활용하여 자동으로 확인을 하면 어떨까 싶어 만들어보았고요. 한정적이지만 어느정도 효율적인 활용이 가능합니다.

로그아웃 상태에서 URL을 주소표시줄에 입력하여 인증이 필요한 페이지에 접근할 수 있는지를 확인하기 위한 목적입니다.

[소스코드]

[상세설명]

주요한 프로그램의 동작 구성은 아래와 같이 작성되었습니다.

1. 점검 url을 텍스트 파일에서 읽어옵니다.

입력 파일로 사용되는 url.txt에 프로세스 검증 누락 취약점을 확인하기 위한 URL 경로들을 입력해둡니다.

2. 입력된 url을 하나씩 request 요청을 보냅니다.

3. 각 요청에 대한 응답의 길이를 비교하여 1개만 존재하는 값을 취약하다고 판단합니다.

(보통 권한이 없는 페이지로 접근하면 로그인 페이지로 리다이렉션 되는 것을 생각하여 로그인 페이지 response 길이는 같다고 보고 다른 페이지를 찾고자 하였습니다.)

4. 필요한 점검 결과와 로그를 출력합니다.

콘솔에는 점검한 URL 정보와 각 요청에 대해 response 데이터 길이, 취약한 URL 리스트를 출력했습니다.

텍스트 파일과 이미지 파일을 생성하여 결과를 쉽게 확인할 수 있게 만들었습니다.

먼저 텍스트 파일에는 취약한 URL 경로와 그에 대한 거증 이미지 파일의 경로와 이름을 매칭시켜 저장해두었습니다.

취약한 케이스의 이미지를 열어보면(자동으로 열리게 해놓았습니다.), 실제 취약한지 아닌지 확인할 수 있고 취약하다면 보고서에 그대로 넣으면 효율적입니다.

실제 업무에 활용해볼 예정이고요, 좀 더 고급 스킬이 필요한 모의해킹에 쓸 시간을 확보하고 누락될 수 있는 취약점을 꼼꼼히 찾아낼 수 있기를 기대해봅니다.

[가이드 개정] 2021년 주요정보통신기반 시설 취약점 분석·평가 가이드 개정 내용 정리

tech-dailylife — Wed, 21 Apr 2021 10:40:15 +0900

주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드가 2017년 이후, 약 4년만에 개정되었습니다.

2021년 3월 29일 날짜로 가이드가 개정되어 나왔습니다.

아시다시피 주요정보통신기반시설로 지정이 되면 정보통신기반 보호법에 따라서 매년 취약점 분석과 평가를 수행하여 보호대책을 수립할 의무를 가지게 되는데요.

개정된 내용을 살펴보면 ICT 변화에 따라 이동통신과 클라우드에 대해 신규 항목을 개설하고 제어시스템 항목이 대폭 추가되었습니다.

또 "조치불가 취약점"에 대해 정의를 하고 관리되도록 명시해두었습니다.

[DVWA] 간편한 웹 모의해킹 실습 환경 구축 (Kali Linux에 DVWA 설치하기)

tech-dailylife — Thu, 4 Mar 2021 10:49:26 +0900

교육목적으로 DVWA(Damn Vulnerable Web Application) 웹 사이트에서 취약점 점검 실습을 진행합니다.

DVWA는 본인의 가상VM 환경에 희생사이트를 쉽게 구축하고 실습할 수 있는 연습용 사이트입니다.

--------------------------------------------------------------------------------------------------

DVWA 사이트를 구축하는 방법은 아주 쉽습니다.

차례대로 따라하시면 됩니다.

PC에 설치된 OS가 윈도우라면 AutoSet을 활용해서 쉽게 설치가 가능합니다.

저는 교육용도로 Virtual Box에 칼리리눅스를 깔고 그 위에 DVWA 사이트를 구축하겠습니다.

(아주 쉽습니다.)

1. Virtual Box(또는 VMWare)를 설치합니다.

2. Kali Linux ova 파일을 다운로드 하고 Virtual Box에 가져오기 합니다.

먼저 아래 다운로드 경로에서 칼리리눅스의 VirtualBox 이미지를 다운로드 받습니다.

다운로드 경로 : www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/

Download Kali Linux Virtual Images | Offensive Security

Want to download Kali Linux custom images? We have generated several Kali Linux VMware and VirtualBox images which we would like to share with the community. Note that the images provided below are maintained on a “best effort” basis and all future up

www.offensive-security.com

VirtualBox 이미지(VMWARE로 할 때는 VMWARE 이미지)를 다운로드 받습니다.

** 초기 비밀번호는 kali/kali로 주어졌네요. 필수로 기억해야 합니다.

다운로드가 완료되면 이런 ova 파일이 받아집니다.

편하게 칼리리눅스 초기 이미지 파일을 만들어 논 파일이라고 생각하시면 됩니다.

VirtaulBox에서 "파일>가상 시스템 가져오기 > 파일 > 다운로드 받은 칼리리눅스 ova 파일을 선택" 순서로 칼리리눅스이미지를 가져옵니다.

3. 칼리리눅스를 실행하고 기본적인 세팅을 합니다.

이제 추가된 칼리리눅스를 실행합니다.

그럼 로그인 화면이 뜹니다. 사이트에서 제공하는 계정정보 kali/kali로 접속합니다.

터미널을 실행하고 kali 계정의 pw를 바꿉니다.

root 계정의 pw를 바꿉니다.

ssh 서비스를 확인하고 로컬에서 접속 가능하도록 설정합니다.

로컬에서 127.0.0.1 IP와 2201포트로 연결 시도하면 가상OS의 IP와 22포트인 ssh 서비스로 연결하도록 설정합니다.

이제 로컬에서 putty로 가상OS의 ssh로 접속이 가능합니다.

웹 서버(apache2)를 설치하고 시작하고, 재부팅시 시작되도록 설정합니다.

사용되고 있는 서비스가 이렇게 ssh, apache2, mariadb가 존재하게 됩니다.

4. DVWA를 설치합니다.

먼저 칼리리눅스의 웹브라우저(firefox)에서 DVWA를 다운로드 합니다.

다운로드 : http://www.dvwa.co.uk

DVWA - Damn Vulnerable Web Application

dvwa.co.uk

다운로드(Download)를 눌러 받습니다.

터미널에서 다운로드 받은 파일이 어디로 갔는지 확인해봅니다.

해당 경로에서 편한 경로로 이동시켜 줍니다. (굳이 안해도 됩니다.)

unzip을 통해 압축 해제를 해줍니다.

폴더가 생겼습니다.

DVWA가 DB에 접근할 수 있도록 DB를 세팅해줍니다.

에러가 발생합니다.

mysql 서비스를 재시작하면 해결됩니다. (만약 해결되지 않으면 mysql을 재설치 해봐야 합니다.)

DB 접속의 root 패스워드를 변경하고, 접속하여 데이터베이스를 하나 만듭니다.

(변경할 때 기존 password가 없으니 Enter 누르면 됩니다.)

DVWA의 config파일을 만듭니다.

config 파일을 DB의 root 계정 정보와 맞도록 수정합니다.

로컬PC와 가상OS 사이에 포트포워딩을 합니다.

이제 접속이 가능하고 구축이 완료되었습니다.

초기 admin/password 로 접속 가능합니다.

세팅 정보를 확인하고 Create/Reset Database를 하면 로그인 화면으로 나가집니다.

다시 로그인하면 실습 가능한 환경으로 접속이 됩니다.

[제주도 맛집] 사계의시간 장어덮밥 포장식사 후기

tech-dailylife — Fri, 5 Feb 2021 12:57:11 +0900

사계의시간 한줄평!

- 양도 많고 간이 잘된 장어덮밥 전문식당입니다~

- 장점 : 넉넉한 양, 달콤한 장어 소스, 가게 내부 포스트잇 감성, 질 좋은 바다장어

위치 정보

www.google.com/maps/place/%EC%82%AC%EA%B3%84%EC%9D%98%EC%8B%9C%EA%B0%84/@33.2320247,126.3070764,16.71z/data=!4m5!3m4!1s0x350c43007eff2bd7:0xe41ee0eea4f4ff20!8m2!3d33.23227!4d126.3089904

사계의시간

★★★★☆ · 바다장어 요리 전문식당 · 안덕면 사계남로 214

www.google.com

---------------------------------------------------------------------------------------------

제주도 서귀포에 위치한 사계의 시간은 장어탕, 장어덮밥 맛집입니다.

가게는 오래된 것 같은 느낌으로 자리잡고 있네요.

메뉴를 보면 장어탕과 장어덮밥으로 구성되어있고, 장어덮밥은 특(곱배기)가 있어요.

사장님이 분주하게 손님을 맞이합니다.

일단 장어덮밥(특)을 포장 주문하고 가게 내부를 둘러봅니다.

가게에 포스트잇으로 글을 많이 남긴 것이 눈에 띄네요. 기다리면서 심심하니 저도 하나 남겨봅니다.^^

장어덮밥을 포장해서 근처 바닷가로 왔습니다. 코로나 시대에는 역시 차 안에서 포장해 먹는게 좋아요.

장어 덮밥을 보면, 양도 많고 소스도 적당히 발라져 있네요. 파, 깨소금이 뿌려져서 보기에도 좋죠.

가시는 별로 없어서 다 씹어먹을 수 있고, 맛도 달달하고 좋네요.^^

구글, 네이버 평점이 높은만큼 맛도 질도 좋은 장어덮밥! 추천합니다!!

기술과 일상

파티엘하우스 평촌 돌잔치 사전답사 (39층 뷰좋음)

[과천 맛집] 화이트캐롯 수제케이크&아메리카노 카페 후기

[면접 합격 수기] 정보관리기술사

[웹 모의해킹] 디렉토리 인덱싱(디렉토리 리스팅) 보안취약점 점검 코드

[웹 모의해킹] 위치 공개 (샘플 페이지 존재 여부) 보안취약점 점검 코드

[웹 모의해킹] 에러 메시지(페이지) 정보누출 보안취약점 점검 코드

[웹 모의해킹] URL 강제접속/강제접근 보안취약점 점검 코드

[가이드 개정] 2021년 주요정보통신기반 시설 취약점 분석·평가 가이드 개정 내용 정리

주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드가 2017년 이후, 약 4년만에 개정되었습니다.

2021년 3월 29일 날짜로 가이드가 개정되어 나왔습니다.

아시다시피 주요정보통신기반시설로 지정이 되면 정보통신기반 보호법에 따라서 매년 취약점 분석과 평가를 수행하여 보호대책을 수립할 의무를 가지게 되는데요.

개정된 내용을 살펴보면 ICT 변화에 따라 이동통신과 클라우드에 대해 신규 항목을 개설하고 제어시스템 항목이 대폭 추가되었습니다.

또 "조치불가 취약점"에 대해 정의를 하고 관리되도록 명시해두었습니다.

관련된 내용을 살펴보고 개인적으로 아래와 같이 정리해보았습니다.^^

[DVWA] 간편한 웹 모의해킹 실습 환경 구축 (Kali Linux에 DVWA 설치하기)

[제주도 맛집] 사계의시간 장어덮밥 포장식사 후기