기술과 일상

일상이든 회사업무이든 반복적인 일을 하다보면은 간단한 코드 몇 줄로 개선해보고 싶어집니다. 그럴 때마다 하나씩 짧게나마 만든 코드를 가볍게 포스팅 하려고 합니다.^^ [작성배경] 이번에는 디렉토리 인덱싱(또는 디렉토리 리스팅) 보안취약점을 점검하는 코드를 포스팅합니다. 이 취약점은 디렉토리 경로까지만 입력했을 때, 디렉터리 리스트가 출력되는 취약점으로 쉽게 확인이 가능합니다. 참고로 구글 검색엔진에서 intitle:index of 라고 키워드를 사용하여 검색하면 이 취약점이 있는 여러 사이트 페이지가 나옵니다. 디렉터리 경로와 경로 내에 있는 파일들을 쉽게 확인할 수 있어, 파일이 유출되거나 시스템이 분석되기 쉬운 취약점이라고 할 수 있습니다. 실제 확인하는 방법은 step1)에 가깝습니다. 디렉터리 경..

[Tech] 정보보안/소소한 코드 몇 줄 2021. 7. 29. 17:55

일상이든 회사업무이든 반복적인 일을 하다보면은 간단한 코드 몇 줄로 개선해보고 싶어집니다. 그럴 때마다 하나씩 짧게나마 만든 코드를 가볍게 포스팅 하려고 합니다.^^ [작성배경] 이번에는 위치 공개 취약점을 점검하는 코드를 포스팅합니다. 위치 공개 취약점 중에 step2에 해당하는 샘플 페이지 존재 여부를 확인하는 점검 코드 입니다. 샘플 페이지를 통해 위치가 공개되어 위치 공개일까 싶습니다만, 아래 가이드 내용입니다. [소스코드] 코드는 이전 포스팅까지는 주피터 노트북에서 작성을 하였지만, 사실 컨설팅에 사용하다보니 local로 들고 들어가야하기 때문에 결국 cmd에서 실행시키는 것이 편하더라고요. 그래서 그냥 py파일에 작성하여 cmd에서 테스트했습니다. 마찬가지로 기본적으로 사용하는 requests..

[Tech] 정보보안/소소한 코드 몇 줄 2021. 7. 27. 14:52

일상이든 회사업무이든 반복적인 일을 하다보면은 간단한 코드 몇 줄로 개선해보고 싶어집니다. 그럴 때마다 하나씩 짧게나마 만든 코드를 가볍게 포스팅 하려고 합니다.^^ [작성배경] 이번에는 에러 메시지나 에러페이지를 통해 서버 정보가 누출되는 취약점을 점검하는 코드를 포스팅합니다. 404 Not Found 등 400번대 에러나 500번대 에러가 발생되었을 때, 서버 정보가 누출되는지 확인하는 작업은 모의해킹을 할때 비교적으로 기술적인 요소가 아니지만 그래도 꼭 점검해야하는 항목입니다. 그렇기 때문에 수동으로 작업하기보다는 간단한 코드로 하려고 시도해봤습니다. [소스코드] 코드는 주피터 노트북에서 작성을 하였고요. 기본적으로 사용하는 requests 라이브러리와 브라우저를 조작하기 위한selenium 라이브..

[Tech] 정보보안/소소한 코드 몇 줄 2021. 7. 26. 14:27

일상이든 회사업무이든 반복적인 일을 하다보면은 간단한 코드 몇 줄로 개선해보고 싶어집니다. 그럴 때마다 하나씩 짧게나마 만든 코드를 가볍게 포스팅 하려고 합니다.^^ [작성배경] 주요정보통신기반시설 가이드 중 아래 내용에 대해 한정적이지만 효율적으로 취약점을 찾기 위해 작성해봤습니다. 실제 모의해킹을 할 때, 시간적인 제약 때문에 반복적인 확인을 전부 하지 못하는 데, 코드를 활용하여 자동으로 확인을 하면 어떨까 싶어 만들어보았고요. 한정적이지만 어느정도 효율적인 활용이 가능합니다. 로그아웃 상태에서 URL을 주소표시줄에 입력하여 인증이 필요한 페이지에 접근할 수 있는지를 확인하기 위한 목적입니다. [소스코드] 코드는 주피터 노트북에서 작성을 하였고요. 기본적으로 사용하는 requests 라이브러리와 브..

[Tech] 정보보안/소소한 코드 몇 줄 2021. 7. 22. 15:31