전체 글 (46) 썸네일형 리스트형 [CPPG/개인정보보호법] 개인정보 해석 실무교재(1) [개인정보와 가명정보] 개인정보 살아있는 개인에 관한 정보로서 다음 어느 하나에 해당하는 정보를 말함 가명정보 > 개인정보보호법 적용 대상 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼수 없도록 처리함으로써 원래의 상태로 복원하기 위한 추가정보의 사용/결합 없이는 특정 개인을 알아볼 수없는 정보를 말함 익명정보 > 개인정보보호법 적용 제외 더 이상 특정 개인인 정보주체를 알아볼 수 없도록 개인정보를 처리함으로써 다른 정보를 사용하여도 특정 개인을 알아볼 수 없는 정보를 말함 이 경우 시간/비용/기술 등을 합리적으로 고려하여야 함 추가정보 개인정보의 전부 또는 일부를 대체하는 데 이용된 수단이나 방식(알고리즘 등), 가명정보와의 비교・대조 등을.. ziyeon 2022. 3. 9. 16:39 Log4j JNDI Injection 부분 간단정리 ? Log4j Shell 에서 뭐 원격지의 코드는 받아오는데 그래서 뭐 어케 실행되는거임? 하는 궁금증이 생겨서 메모겸 블로그 글을 작성한다 ## JNDI ? JNDI는 Java Naming and Directory Interface로 디렉터리 서비스(LDAP, DNS, NIS, 파일 시스템)를 발견하고 Lookup을 통해 디렉터리 Object를 Naming 해주는 Java API이다. Naming을 사용할 때 ${protocol:value} 이런식으로 Binding 되기 때문에 이번 공격의 페이로드가 ${ldap:127.0.0.0/a} 이런모양이다. 라고 이전 Log4j 게시물에 작성을 했다. ## 핵심 log4j 의 로깅하는 부분에서 JNDI 구문이 실행 가능하다. ---> 요게 log4j의 핵심이고 J.. 뚜봄뚜봄 2022. 2. 12. 13:36 Manifest 구조를 알아보자 # Manifest ?? 안드로이드에서 매니페스트란 apk 파일을 보면 루트경로에 위치해 있는 application의 기본적인 정보를 담고있는 파일이라고 생각하면 된다. 디바이스에서 해당 파일을 읽고 어떤 권한을 주고 어떤 액티비티를 먼저 실행시키는지 등등을 알려준다고 생각하면 될듯? # 구조는 어떨까 ?? 기본적인 구조는 아래와 같다 manifest : 패키지명 , 버전정보, 구성하는 클래스 패키지명 정의 uses-permission : 앱에서 사용할 시스템 권한을 정의 permission : 앱에서 제공하는 권한이외에 컴포넌트에서 정의하는 권한(다른 앱에서 해당 앱 접근 등등) permission-tree : permission-group : instrumentation : 시스템 이벤트 발생 시 애.. 뚜봄뚜봄 2022. 1. 10. 21:41 마이데이터 서비스 - API 의무 적용 마이데이터 서비스는 신용정보법에 따라 개인인 신용정보 주체의 신용관리를 지원하기 위해 개인 신용정보를 통합하여 신용정보주체에게 제공하는 서비스를 말한다. 즉, 흩어진 개인 신용정보를 한번에 보여주고 자산 및 소비 현황을 분석하여 금융상품 추천 등의 자산관리를 도와주는 서비스이며 마이데이터 서비스 사업자로는 뱅크샐러드, 토스, 카카오페이, 은행(KB,우리, 신한 등) 등 현재 33개 사업자가 있다. 신용정보법 제2조(정의) 9의2. “본인신용정보관리업”이란 개인인 신용정보주체의 신용관리를 지원하기 위하여 다음 각 목의 전부 또는 일부의 신용정보를 대통령령으로 정하는 방식으로 통합하여 그 신용정보주체에게 제공하는 행위를 영업으로 하는 것을 말한다. 2022년 1월 5일 오후 4시부터 마이데이터 사업자는 스크.. ziyeon 2022. 1. 5. 17:20 [Container] 쿠버네티스는 왜 도커 사용을 중단하는가? 공식 문서를 보면서 지원을 중단하는 이유를 알아보고자 작성함. 요약 1. 쿠버네티스가 1.20 이후로 도커를 지원하지 않겠다고 발표함. 2. 도커는 CRI(Container Runtime Interface)를 지키지 않았다고 함. 3. 쿠버네티스가 1.23 부터 Dockershim 최초 릴리스하겠다고 함. (cri-o 사용 예정) 4. 쿠버네티스가 1.24 부터 Dockershim 제거하겠다고 함. 도커는 CRI(Container Runtime Interface)를 지키지 않았다고 하는 이유는? 2018년 도커와 컨테이너 구동 방식을 도식화한 자료임. kubelet -> CRI -> dockershim -> dockerd -> containerd -> Container kubelet -> CRI -> c.. chdwjfdl 2022. 1. 5. 16:54 Sublime text3 에서 python3 입력 편하게 하기 예전에 백준이나 릿코드에서 알고리즘 문제를 풀다보면 입력이 정말 복잡한 경우가 많다. 코딩을 하다보면 뭐 복붙으로 인해 클립보드가 예제 입력이 아닌 다른걸로 덮어씌워지는 경우가 많이 때문에... 나는 그냥 인풋 값을 텍스트 파일에 저장해서 코드만 수정하고 바로 실행해서 결과를 확인한다. 예전에 같이 연구실 사용하던 친구가 해당 방법을 알려준 이후로 지금까지도 유용하게 쓰고있다. 해당 설정 방법은 매우 쉽다. 1) 작성한 python 폴더가 있는 곳에 input.txt 파일을 하나 만든다. 2) Sublime text 3 > Tools > Build System > New Build System ... 을 클릭한다. 그리고 아래와 같이 작성한다. { "shell_cmd": "python3 -u $file .. 뚜봄뚜봄 2022. 1. 5. 00:44 네임 맹글링 (Name Mangling or Name Decoration) 기본적으로 자바에서 call 하는 함수의 경우에는 Java_com_xxx 이와 같은 형식으로 함수 네이밍이 되어있다. 그런데 C, C++ 내부에서 사용하려고 클래스를 만들거나 그 안의 함수를 후킹할 때 IDA에서 function List로 볼 때는 그냥 개발자가 선언한 함수 이름으로 보이지만 실제 frida 등을 통해서 후킹할 때는 맹글링된 이름을 가져와야한다. 뭐 사실 나도 frida에 대해서 많은 함수를 써본것도 아니니 다른 방법을 통해 후킹이 가능하다면 댓글 부탁드림미다.... ## Name Mangling ?? 우선 Name Mangling이 뭔지 알아보자. 위키에 따르면 컴파일러에서 프로그래밍 entity에 대한 고유한 이름을 해결해야 하는 필요성으로 인해 발생하는 다양한 기술 문제를 해결하기 .. 뚜봄뚜봄 2021. 12. 30. 13:47 Log4j 취약점 CVE-2021-44228 (Remote Code Injection) 2021년 12월9일 해당 취약점 나온듯? 현재 CVE 번호는 CVE-2021-44228 임 ## 핵심 Flow 는 아래와 같음 A : Log4j 취약한 버전을 사용하는 서버 B : 공격자 A의 서버에서 사용자의 입력을 로그로 저장하는 곳이 존재함 (ex. HTTP Header 중 X-Api-Version) 해당 장소에 B가 페이로드를 넘김 서버가 B의 입력을 로그 기록함 JNDI Lookup을 통해 해당 구문이 실행됨 (코드는 JNDI Injection 페이로드로 구성되며, 해당 코드를 실행시키는건 JNDI Lookup을 통해 이루어짐) JNDI Injection 관련 내용은 아래 링크에 있음 https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-J.. 뚜봄뚜봄 2021. 12. 20. 22:14 이전 1 2 3 4 5 6 다음
