공부용

AI 할루시네이션 : 딥러닝(DL) 기반 모델이 현실에 기반하지 않은 정보나 데이터를 생성해 허구적이고 비논리적인 결과를 도출하는 현상 이러한 AI 할루시네이션은 단순한 기술적 오류를 넘어 사회적, 윤리적 문제로 확대될 수 있는 중요한 문제이다. 의료, 법률, 금융 등 의사결정이 필요한 분야에 AI가 활용될 때, 치명적인 결과를 낳을 수 있다.   AI 할루시네이션의 원인AI 모델이 학습하는 데이터에 내재된 편향 : 학습 데이터가 부정확하거나 편향된 정보를 포함할 경우, 잘못된 예측을 하거나 비현실적인 결과를 생성할 수 있다.알고리즘 설계 문제 : 딥러닝 모델은 입력 데이터의 패턴을 일반화하려는 경향이 있다. 이 과정에서 과도한 일반화가 발생해 잘못된 결론에 도달할 수 있다.모델의 과적합 : AI 모델이..

Use-After-Free 취약점 개요Use-After-Free(UAF) : 메모리 할당 후 해제된 메모리를 사용하여 발생하는 메모리 손상(Memory Corruption) 취약점, 힙 메모리(Heap Memory)에서 주로 발생한다.*힙(Heap) : 컴퓨터의 메모리 구조 중 사용자가 임의로 사용할 수 있는 공간, 동적으로 할당하고 해제할 수 있다. 힙 영역 중, 사용하지 않는 공간(Unused Heap)은 이중 연결리스트로 관리한다. 메모리 해제가 발생하면 해당 영역이 연결 리스트에 연결되고, 새로운 메모리 할당이 발생하면 연결 리스트의 첫 번째 매칭(First-Fit)영역을 할당한다. 문제는 할당했던 메모리를 해제한 후 재할당해서 사용할 때 동일한 크기로 재할당 하는 경우, 이전에 사용했던 메모리 ..

ClientSide: CSRF Cross Site Request Forgery (CSRF) 웹 서비스는 쿠키 또는 세션을 사용해 이용자를 식별한다. 임의 이용자의 쿠키를 사용할 수 있다면, 임의 이용자의 권한으로 웹 서비스의 기능을 사용할 수 있는 것이다.   CSRF : 임의 이용자의 권한으로, 임의 주소에 HTTP 요청을 보낼 수 있는 취약점이다. 공격자는 임의 이용자의 권한으로 서비스 기능을 사용해 이득을 취할 수 있다.*예시 : 이용자의 계정으로 임의 금액을 송금해 금전적인 이득을 취하거나 비밀번호를 변경해 계정을 탈취, 관리자 계정을 공격해 공지사항 작성 등으로 혼란을 야기  Cross Site Request Forgery 동작 CSRF 공격에 성공하기 위해서, 공격자가 작성한 악성 스크립트를 ..

문제 설명여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.CSRF 취약점을 이용해 플래그를 획득하세요.   *참고 사항 : 이번 문제는 Dreamhack 학습의 Web Hacking의 Cross-site Request Forgery (CSRF) 파트를 읽으면서 풀었다.  로그인해야 하는 문제, 이 문제도 admin 계정으로 로그인하면 될 것 같다.  코드 분석vuln : csrf-1과 마찬가지로 xss 공격은 키워드로 필터링 해뒀다. 기능 역시 param을 출력하는 것으로 동일하다.flag : GET - 입력받을 페이지 제공 / POST : session_id가 유효한지 check_csrf로 확인, check_csrf 함수는 read_url 함수 호출.login : GET - userna..

문제 설명여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.CSRF 취약점을 이용해 플래그를 획득하세요.  *참고 사항 : 이번 문제는 Dreamhack 학습의 Web Hacking의 Cross-site Request Forgery (CSRF) 파트를 읽으면서 풀었다.  코드 분석vuln : 이용자가 전달한 param 값 출력. XSS 공격 방지를 위해 키워드가(frame, script, on) 필터링 되어있다.memo : 이용자가 전달한 memo 값 기록, render_template 통해 출력한다.flag : GET - 입력받는 페이지 제공 / POST - check_csrf 함수 호출, check_csrf 함수는 read_url 함수 호출.admin/notice_flag : 로컬호스트..

2024년 국내 은행 AI 활용 현황 1. AI 뱅커 - 오프라인 점포의 변화오프라인 점포는 지속적으로 통폐합되고 있으며, 남은 점포들 또한 AI 기술 기반으로 셀프뱅킹 서비스를 강화신한은행 : AI 뱅커가 탑재된 150여 대의 '디지털 데스크'를 영업점에 배치, AI 뱅커로 운영되는 무인점포 'AI 브랜치' 오픈.농협은행 : 모든 영업점에 AI 뱅커 배치2. 고객 대응 서비스 강화은행 챗봇 서비스 : 생성형 AI와 향상된 NLP(자연어 처리 기술)를 기반으로 성능이 향상 중국민은행 : '리브 넥스트'의 AI 금융비서 베타 서비스 개시우리은행 : '우리WON뱅킹' 내 AI 상담 서비스를 통한, 상품 가입 권유/대출 상담 영역까지 확대 예정하나은행 : 자체 NLP 엔진 적용한 '기업 하이챗봇'으로 고객 문..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 윈도우 레지스트리2. 윈도우 아티팩트3. 웹 브라우저1. 윈도우 레지스트리1) 레지스트리 소개레지스트리(Registry) : 윈도우 운영체제와 응용프로그램 구동에 필요한 정보를 저장하는 계층형 데이터베이스부팅 과정/로그인/서비스 실행/응용프로그램 실행/사용자 행위 등 거의 모든 활동에 관여윈도우 시스템 분석의 필수 요소로, 운영체제 정보/사용자 계정 정보/시스템 정보/응용프로그램 실행 흔적/최근 접근 문서/자동 실행 항목/저장 매체 사용 흔적 등의 다양한 정보 획득 가능 2) 하이브(Hive) 파일레지스트리는 계층형 구조로 구성되어 있다. 최상위 폴더에 해당되는 부분은 루트키(Root Ke..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 해쉬 함수2. 전자 서명3. 시점확인 서비스4. 디지털 증거의 인증디지털 데이터는 훼손되기 쉬우며, 따라서 데이터를 수집한 이후부터는 위/변조되지 않았음을 입증할 수단이 필요하다. 대표적인 입증 기술로는 메시지 인증 코드(Message Authentication Code)와 전자 서명이 있다. 메시지 인증 코드는 사전에 키 공유 후, 데이터 전송 도중 위/변조되었는지 확인하는 방법이다. 제 삼자에게 데이터가 위/변조되지 않았음을 입증하는 것이 어렵다. 이를 극복한 것이 전자 서명이다.전자 서명은 개인키를 갖고 있는 자만이 해당 데이터에 서명 값을 생성할 수 있고 그 외의 사람은 공개키를 이..

Client-Site-Scripting (XSS)  클라이언트 사이드 취약점 : 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점 클라이언트 사이드 취약점의 대표적인 공격 : Cross Site Scripting(XSS)   XSS 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다. 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다.  XSS 발생 예시와 종류 XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다.*예시 : 로그인 시 출력되는 “안녕하세요, OO회원님”과 같은 문구 또는 게시물과 댓글종류설명Stored XSSXSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에..

Background: Cookie & Session 웹 서버는 수많은 클라이언트를 어떻게 구별하고 서로 다른 결과를 반환해줄까?HTTP 프로토콜로 웹 서버와 통신할 때에는 웹 서버에 명령을 내리기 위해 GET, POST와 같은 메소드와 자원의 위치를 가리키는 URL 등이 포함되어 있다.이외에도 헤더(Header)를 통해서 웹 서버에게 요청을 보내고, 웹 서버는 헤더를 읽고 클라이언트에게 결과 값을 반환한다. 이때, 헤더에는 클라이언트의 정보와 요청의 내용을 구체화하는 등의 데이터가 포함되는데, 클라이언트의 인증 정보 또한 포함될 수 있다.쿠키클라이언트의 IP 주소와 User-Agent는 매번 변경될 수 있는 고유하지 않은 정보일 뿐만 아니라, HTTP 프로토콜의 Connectionless와 Statele..