l0vey0u / ToDo

2 stars 1 forks source link

CVE 하나 골라서 직접 실습해보기 #56

Closed l0vey0u closed 3 years ago

l0vey0u commented 5 years ago
  1. CVE 둘러보기
    • 내가 내고 싶은 CTF 문제에 관련 있는건 이미지 뷰어 쪽 없나 보기
  2. 구축 가능성, 경제성 등 여러가지를 고려하며 cve를 선택하기
  3. 구축 및 실습 계획 세우기
  4. 보안 대책 세우기
  5. 보안 대책에 대한 공격 포인트는 없는지 고민하기
  6. 4
  7. 보고서 작성하기
  8. CTF 출제하기
l0vey0u commented 5 years ago

cve 탐색 참고 사이트

l0vey0u commented 5 years ago

https://github.com/l0vey0u/ToDo/issues/7 이 이슈에서부터 계획한거인데 나는 LINE 개발자 입니다를 읽고 ( 책 제목 이거 맞나? ) 더 하고 싶어짐

l0vey0u commented 5 years ago

키워드를 nodejs module로 해봄

l0vey0u commented 5 years ago

nodejs 취약점 실습을 도커로 하네?

l0vey0u commented 5 years ago

우리에겐 docker가 있네!

l0vey0u commented 5 years ago

root로 돌아가서 생각을 해보았다. 내가 취약점 실습을 하는게 먼저일까? 물론 중요하다. 하지만 내 모토는 필요한 도구를 만들어 쓸 줄 아는 보안전문가. 즉 만드는 능력이 필요하다.

Rubiya 님의 Web Hacking Tree를 다시 읽어봐도 개발능력이 일단 중요하다고 한다.

TIL을 goorm IDE에서 작성하는게 귀찮았다. 그래서 TIL을 작성하는 페이지를 만들어야 겠다.

그리고 vue-resume에서 계속 export 방식으로 하는 건 불편하다. Static Resume Page도 만들어야 겠다.

그래서 이 이슈는 잠시 접고 개발 이슈를 먼저 진행하겠다.

l0vey0u commented 4 years ago

예전에 내가 루비야 ppt 보며 적당히 만들어논 더러운 문제 다듬어서 낼까

내 아이덴티티인 미니 UTM 도 넣고 ( 일정 횟수 이상 해킹 시도하면 차단 ㅋㅋㅋ )

l0vey0u commented 4 years ago

https://www.exploit-db.com/exploits/47550

이거 보고 생각났는데 아예관련없는 벡터에서 media db 데이터까지 추출하는거지 오히려 내 UTM이 동작하는게 독이 되버리는? 어때? UTM으로 막는 것에 대한 인젝션 공격

l0vey0u commented 4 years ago

youphptube rce youphptube sqli

l0vey0u commented 4 years ago

https://cby234.tistory.com/86

l0vey0u commented 4 years ago

30- ouroboros (이건 진짜 힘들게 풀었고 아직도 정확하게 이해 못했다 걍 넣다 보니 됨 ㅋㅋㅋㅋ)

l0vey0u commented 4 years ago

https://blog.rwx.kr/quine-sql-injection/

l0vey0u commented 4 years ago

http://optimathemes.com/

l0vey0u commented 3 years ago

타래는 CTF 출제 할 때 아무말 대잔치 했으니 패스하고 CVE는 보안관련 논문 읽기 리스트에 고려해보겠다.