들어가기 앞서Discord에서는 봇 운영을 위한 API를 제공하며, 이를 쉽게 활용할 수 있도록 Python, JavaScript, Java 등 다양한 언어로 라이브러리가 개발되어 있다. 이번 포스팅에서는 그중에서도 Python에서 가장 널리 쓰이는 "discord" 라이브러리의 기본 사용법을 알아보려고 한다.discord 라이브러리Installdiscord 라이브러리는 Python 내장 라이브러리가 아니므로, 별도의 설치가 필요하다. 관련 프로젝트는 아래의 레포지토리에서 확인할 수 있다. GitHub - Rapptz/discord.py: An API wrapper for Discord written in Python.An API wrapper for Discord written in Python. Co..

들어가기 앞서Docker를 사용할 때 자주 사용하지 않는 명령어의 경우, 그때그때마다 검색하여 명령어를 찾아야 하는 상황이 자주 발생한다. 또한 외부 Dockerfile을 사용할 때도 마찬가지로 구문을 외우지 않고 있다면 검색에 의존하게 되는 경우가 매우 많다. 때문에, 이번 포스팅은 도커 사용 시 자주 사용되는 명령어들을 정리하고 나중에 참고하고자 작성한다.Docker Commands도커 전체 초기화 코드더보기# 시스템의 모든 컨테이너 삭제docker rm -f $(docker ps -a -q)# 시스템의 모든 볼륨 삭제docker volume rm -f $(docker volume ls -q)# 시스템의 커스텀 네트워크 삭제(기본 네트워크 제외)docker network rm -f $(docker n..

들어가기 앞서WSL을 통해 설치한 Ubuntu에서 Docker를 설치하는 방법을 기록하고 참고하기 위해 포스팅한다.도커 설치# 우분투 시스템 패키지 업데이트sudo apt-get update# 필수 패키지 설치sudo apt-get install -y apt-transport-https ca-certificates curl software-properties-common libssl-dev libffi-dev git wget nano# Docker 공식 GPG 키 추가curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -# Docker 공식 apt 저장소 추가sudo add-apt-repository "deb [arch=a..

들어가기 앞서Windows 환경에서 Linux를 실행하는 방법은 크게 두 가지로 나뉜다. 첫 번째는 VMware나 VirtualBox와 같은 가상화 소프트웨어를 통해 리눅스 이미지를 설치하고 실행하는 방식이다. 이 방법은 리눅스의 모든 기능을 제약 없이 사용할 수 있으며, 하나의 호스트 시스템에서 여러 운영체제를 동시에 실행하고 각각을 독립적으로 운영할 수 있다는 장점이 있다. 그러나, 이 방식은 많은 시스템 자원을 소비하고, 호스트와 가상머신 간 파일 공유나 시스템 전환이 복잡하며, 실행 속도가 상대적으로 느리다는 단점이 있다. 두 번째 방법은 WSL(Windows Subsystem for Linux)을 이용하는 것이다. WSL은 가상화 소프트웨어에 비해 설치 및 설정이 매우 간단하며, Windows ..

들어가기 앞서소프트웨어 개발에서 보안은 더 이상 선택 사항이 아닌 필수 요소이다. 특히 사이버 위협으로 인한 침해 사고는 기업의 재정적 손실과 평판 손상으로 직결되므로, 완벽하지 않더라도 최소한의 보안 대책을 마련해야 한다. 또한, GDPR, HIPAA 등의 컴플라이언스 요구사항을 충족하기 위해서도 기업은 소프트웨어의 일정 수준의 보안성을 유지해야 한다. 이에 따라 업계 관계자들은 비용 효율적이면서도 보안을 강화할 수 있는 방법을 모색하였고, 그 결과 개발 초기 단계에서 보안을 고려하는 접근 방식으로 CI(Continuous Integration) 파이프라인에 SAST(Static Application Security Testing)를 적용하고, 실제 환경에서의 취약점을 식별하기 위해 CD(Continu..

들어가기 앞서안드로이드는 전 세계 스마트폰 시장의 상당 부분을 차지하고 있지만, 동시에 다양한 보안 위협에 노출되어 있다. 오늘은 그 중에서도 실습을 통해 Task Hijacking(CVE-2021-33699) 취약점에 대해서 다뤄보고자 한다. 실습에 사용할 소스코드 및 APK 파일은 아래의 Github Repository에서 다운로드 받을 수 있다. GitHub - naroSEC/CVE-2021-33699_Task_HijackingContribute to naroSEC/CVE-2021-33699_Task_Hijacking development by creating an account on GitHub.github.comWhat is Task Hijcaking(CVE-2021-33699)?개요Task H..

합격후기지난 6월에 봤던 SW 보안약점 진단원 1차 이수 시험을 합격함으로써, 시험을 준비하는 수험생 분들이 참고할 수 있도록 공부 기간, 공부 방법, 시험 준비 자료를 공유하고자 한다.공부 기간4주 소요SW 보안약점 진단원 시험을 준비하기 시작한 것은 6월 초로, 시험을 보기까지 약 4주가 걸렸으며, 평일에는 하루에 2~3시간 정도 공부하고, 주말에는 가능한 한 최대한 많은 시간을 투자했다. 해당 시험은 특이하게도 SW보안약점 진단원 양성과정 교육을 수강 후 차주에 바로 1차 시험을 치루게된다.(최대 3번까지 시험을 치룰 수 있다.) 때문에, 교육을 수강하고 공부를 하기에는 시간이 촉박하므로, 미리 준비를 해야한다.공부 방법[공부 순서]이 시험에 대한 다른 사람들이 작성한 후기들을 보면 대부분 공부 방..

합격후기 작년부터 준비해왔던 CISSP 시험을 이 달에 합격함으로써, 시험을 준비하는 수험생 분들이 참고할 수 있도록 공부 기간과 시험 참고 자료 및 공부 방법에 관하여 포스팅하고자 한다. 공부 기간 2달 소요 CISSP 시험을 첫 준비했던 시기는 작년 10월이다. 처음에는 AWS 클라우드 시험을 준비하고 있다가 마음이 바뀌어 CISSP 시험을 준비하게 됐다. 공부 기간은 10월부터 1월까지로 그 중 3주 정도는 산업보안관리사 시험을 준비한다고 공부를 못 했기 때문에 실질적인 공부 기간은 2달(하루 2~3시간) 정도로 보면된다. 해당 시험을 준비하고 계시는 분들은 보편적으로 정보 보안 일을 업으로 하고 계시는 분들일이 대다수일 것이다. 만약 본인이 관리 경력 등 경험이 다채롭다고 하면 준비 기간이 더 짧..

들어가기 앞서 안드로이드 피닝(Pinning) 개요 및 Root CA 검증 우회 방법 들어가기 앞서 라이브러리 모듈 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 통신 포트 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 Frida 실행 시 생성되는 파일 검사를 통 naro-security.tistory.com 고정 인증서 방식의 피닝(Pinning) 우회 방법 들어가기 앞서 안드로이드 피닝(Pinning) 개요 및 Root CA 검증 우회 방법 들어가기 앞서 라이브러리 모듈 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 통신 포트 검사를 통한 Frida 탐지 방 naro-security.tistory.com 이전 "안드로이드 피닝(Pinning) 개요 및 Roo..

들어가기 앞서 안드로이드 피닝(Pinning) 개요 및 Root CA 검증 우회 방법 들어가기 앞서 라이브러리 모듈 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 통신 포트 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 Frida 실행 시 생성되는 파일 검사를 통 naro-security.tistory.com 이전 "안드로이드 피닝(Pinning) 개요 및Root CA 검증 우회 방법"에 이어서 이번 포스팅에서는 피닝(Pinning 이하 피닝) 기법 중에서도 모바일 앱에 인증서를 사전 등록하는 방식인 고정 피닝 기법에 대해서 다뤄보도록 하겠다. ※ 실습 진행에 사용되는 ANDITER 앱은 아래의 GitHub에서 다운로드 가능하다. GitHub - naroSEC/Anditer ..

들어가기 앞서 Digital Forensics Challenge(이하 DFC) 대회는 한국에서 열리는 몇 없는 디지털 포렌식 대회로 2018년부터 지금까지 매년 대회가 진행되고 있다. 올해에도 2023.05.01 ~ 2023.09.30까지 대회가 진행되었으며, 예전에는 디스크, 네트워크 포렌식 등의 문제가 주를 이루었다면, 근래 들어서는 모바일 문제도 조금씩 출제되고 있는 추세이다. 이번 포스팅에서는 DFC 2023 대회에서 출제되었던 301번 모바일 포렌식 관련 문제에 대한 Write Up을 작성하고자 한다. Digital Forensics ChallengeDigital Forensics Challenge Digital Forensics Challenge hosted by Korea Institute ..

들어가기 앞서 라이브러리 모듈 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 통신 포트 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 Frida 실행 시 생성되는 파일 검사를 통한 탐지 방안과 우회 기법 들어가기 앞서 이번 포스팅부터는 모바일 데이 naro-security.tistory.com 이전 "라이브러리 모듈 검사를 통한 Frida 탐지 방안과 우회 기법"에 이어서 이번 포스팅에서는 안드로이드 앱 단에서 중간자 공격을 대응하고자 적용하는 피닝(Pinning)이 무엇인지 알아보고 해당 기법이 적용된 앱에서는 이를 어떻게 우회할 수 있는지 다뤄보도록 하겠다. ※ 실습 진행에 사용되는 ANDITER 앱은 아래의 GitHub에서 다운로드 가능하다. GitHub - naroSE..