기록★일지

#1 빅데이터 개요 및 활용 정량적 데이터(quantitative) : 주로 숫자로 이루어진 데이터(800m, 80km/h 등)정성적 데이터(qualitative) : 문자와같은 텍스트로 구성되며 함축적 의미를 지니고 있는 데이터 (내가 시험에 합격했다.) 정형 데이터정해진 형식과 구조에 맞게 저장되도록 수어된 데이터, 연산이 가능반정형 데이터데이터의 형식과 구조가 비교적 유연, 스키마 정보를 데이터와 함께 제공하는파일 형식의 데이터, 연산이 불가능 비정형 데이터구조가 정해지지 않은 대부분의 데이터, 연산이 불가능 암묵지 : 학습과 경험을 통하여 개인에게 체화되어 있지만 겉으로 드러나지 않는 지식데이터베이스 : 동시에 복수의 적용 업무를 지원할 수 있도록 복수 이용자의 요구에 대응해서 데이터를 받아들이고..

문제 3번이다. 공지사항 게시판에 글을 쓰라고 적혀있다.    우선 페이지를 Burp Suite를 이용하여 프록시를 했더니 특별한 건 없어 보인다.  페이지 소스를 봐도 특별한 건 없어보인다.  써니나타스의 NOTICE 게시판에 들어가니 글쓰기가 보이지 않는다.    FREE에 들어가니 Wirte 문구가 보이고 Write를 클릭한다.   write의 URL을 보니 /free/write인데 이걸 /notice/write로 변경한다.    /notice/write에서 글을 작성하고 나니까 인증 키값이 나오고 이걸 Auth에 등록하면 자동적으로 점수가 등록된다.   후기갈수록 어려워지는 것 같다.

2번 문제이다. 보자마자 바로 sql injection을 넣었다. 당연히 실패했다.  Burp Suite를 사용하여 정보를 봤더니 스크립트 끝난 후 주석으로 Hint가 있었고 Join을 ID/PW에 넣었다.  위에 스크립트 언어에는 ID와 PW가 같으면 alert라고 경고창이 뜬다고 코드가 작성되어 있다.join / join으로 입력 했더니 You can`t join! Try again이라고 출력됐다.    아이디와 패스워드를 아무렇게 적은 뒤 Burp Suite이용하여 id와 pw 값을 join / join으로 변경하면 끝이다.   이 문제는 딱히 코드를 해석한다거나 그런 건 필요없는 문제 같다.웹 페이지가 GET으로 넘어가는 걸 중간에 가로채서 해킹하는 그런? 문제라고 볼 수있다.

우선 1번 문제는 asp로 작성된 코드이다.asp와 jsp 모두 를 사용하기 때문에 이 부분으로 구분하는 건 아니고 str = Reqeust("str") 이 부분이 asp가 사용하는 방식이다. 보통 jsp 같은 경우 str = request.getParameter("str"); 이런 식으로 파라미터를 사용한다. 그리고 사실 url에 .asp라고 되어있다.  3줄 >  str = Request("str") 요청 str이라는 매개변수를 받음 5줄 : If not str = "" Then15줄 : End if   > 문자열이 비어 있을 경우 종료 6줄 result = Replace(str, "a", "aad") > a가 입력되면 aad로 바꾸고 result 저장 7줄 result = Replace(result..

서론이번에 su 권한이 변경되어 리눅스 싱글모드로 부팅하여 권한을 변경하는 작업을 진행하다가 싱글모드 부팅을 포스팅하게 되었다. 싱글모드로 부팅을 진행해야하는 여러가지 상황이 있는데 그 부분은 추후 올려보도록 하겠으며, KALI,CENTOS7, UBUNTU 리눅스 3가지 모두 싱글모드로 부팅하여 root passwd를 재설정 해보겠다.     본론KALI1. KALI LINUX 실행 후 그림 1 화면에서 e 입력  2. 그림 1에서 e 입력 후 들어온 페이지에서 linux라는 행의 제일 마지막에 rw init=/bin/bash 입력 후 F10 입력      > 그림2, 그림3 참조   3. mount 확인 및 passwd 입력 후 reboot -f     > 그림 4 참조   CENTOS71. CENTO..

서론SNI(Server Name Indication)는 SSL/TLS 프로토콜의 확장 기능으로, 가장 쉽게 이해하기 위해선 네트워크 통신할 때 암호화가 된다면 그 안에 데이터의 값이 무엇인지 알 수 없는데 SNI 필드를 확인하여 특정 사이트 및 트래픽 등을 확인할 수 있다. 쉽게 말하면 네이버에 네트워크 통신할 때 암호화가 되어 데이터 값을 볼 수 없지만 SNI 필드에는 네이버라는 것이 나와 있어 네이버의 트래픽인 것을 유추할수 있는 개념이다.  본론SNI (Server Name Indication)는 SSL/TLS 프로토콜의 확장 기능으로, 클라이언트가 서버에 접속할 때 어떤 호스트 이름에 접근하고자 하는지를 서버에 알리기 위해 사용, 하나의 IP 주소에서 여러 SSL/TLS 인증서를 사용할 수 있도록..

서론NAT 및 포트 포워딩(Port Forwarding)을 포스팅 하면서 느낀 게 IP와 GW도 포스팅을 해야한다고 느껴서 하게됐다.사실 이걸 먼저 했어야 하는데 그땐 IP와 GW에 대해서 어떤 부분을 적어야 할 지 생각을 못해서 IP와 GW를 늦게 포스팅 하게 되었다.  본론 IP(Internet Protocol)- 인터넷 상의 데이터를 전송하기 위해 필요한 규약- 네트워크 상의 장치를 고유하게 식별하기 위한 주소- 네트워크 장치 간의 통신을 가능하게 함- 다양한 형태의 데이터 전송 관리- 데이터 패킷의 전송 경로를 설정- OSI 7계층에서 3계층으로 볼 수 있다.- IPv4와 IPv6로 나눌 수 있음 IPv4- 32비트로 구성, 4개의 8비트 옥텟으로 나눔  > ex) 10.200.20.4- 주소는 ..

서론버추얼박스 NAT Network 설정에 포스팅을 하면서 NAT와 포트 포워딩을 살짝? 다루면서 NAT와 포트포워딩에 대해서 다시 포스팅을 해야겠다고 생각해서 하게됐다.  NAT (Network Address Translation)- 사설 네트워크의 여러 기기들이 공용 IP 주소 하나를 통해 외부 네트워크와 통신할 수 있도록 하는 기술- NAT는 주로 라우터에서 구현되며, 내부 네트워크와 외부 네트워크 간의 IP 주소 변환 담당  NAT 유형Static NAT- 고정된 사설 IP 주소를 고정된 공용 IP 주소에 매핑- 주로 외부에서 내부 네트워크의 특정 기기에 직접 접근해야 할 때 사용  Dynamic NAT- 사설 IP 주소를 풀(Pool) 내의 공용 IP 주소에 동적으로 매핑 > 풀(Pool)   ..

서론개발자가 아니더라도 IT관련 업계에서 일을 하면 SQL을 사용하게 된다.재직중인 기업마다 사용하는 SQL이 다르겠지만 대체로 다 비슷하고 SQL 관련 취약점은 DB가 공격당하기 때문에 매우매우 위험한 공격이다. Injection- 인터프리터로 전송되는 명령(command, query, format)의 의미를 변경/조작하는 방식으로 애플리케이션 데이터를 전달하는 공격- 인터프리터는 많은 접근으로 실행되는데, injection 공격이 성공할 경우 데이터 유출이나 애플리케이션 도는 서버의 제어권을 탈취할 수 있다. Injection 공격 유형- Error-Based SQL Injection은 SQL 쿼리가 실행될 때 오류가 발생하는 경우 DBMS의 에러메시지가 클라이언트측에 노출되는 경우 사용- SQL 쿼..

서론이전에 FAR(부재율)과 FRR(거부율)을 포스팅할 때 ROC곡선과 AUC를 올린다고 했었는데 이제서야 올린다.ROC곡선과 AUC는 이진 분류 문제에서 모델의 성능을 평가하기 위해 사용되는 주요 지표이다.  ROC와 AUC - ROC 곡선을 통해 모델이 어떻게 다양한 임계값에서 성능을 발휘하는 지 파악- AUC는 단일 숫자로 모델의 성능을 요약하므로 여러 모델 비교할 때 유용- ROC와 AUC는 클래스 불균형이 있는 데이터셋에서 유용한 평가 방법- 정확도(Accuracy)와 달리, ROC와 AUC는 클래스 불균형의 영향을 적게받음 이진 분류(Binary Classification)- 두 개의 클래스(예: 양성/음성, 참/거짓) 중 하나로 데이터를 분류하는 문제입니다.TP (True Positive)-..