Lazy CBC 문제 나는 게으른 개발자일이고, 내 CBC 암호화가 작동하기를 원합니다. 초기화 벡터에 대한 이 모든 이야기는 무엇인가요? 중요하게 않은 것 같아요. 풀이 더보기 먼저 제공된 사이트와 코드다. from Crypto.Cipher import AES KEY = ? FLAG = ? @chal.route('/lazy_cbc/encrypt//') def encrypt(plaintext): plaintext = bytes.fromhex(plaintext) if len(plaintext) % 16 != 0: return {"error": "Data length must be multiple of 16"} cipher = AES.new(KEY, AES.MODE_CBC, KEY) encrypted = c..

JSON in JSON 문제 설명 우리는 어떻게 결함있는 검증이 JWT들의 보안을 부술 수 있는지 조사해왔지만, 때때로 코드를 악용하여 예상하지 못한 데이터에 서명할 수 있다. https://web.cryptohack.org/json-in-json/ 풀이 더보기 import json import jwt # note this is the PyJWT module, not python-jwt FLAG = ? SECRET_KEY = ? @chal.route('/json-in-json/authorise//') def authorise(token): try: decoded = jwt.decode(token, SECRET_KEY, algorithms=['HS256']) except Exception as e: ret..

JWT Secrets 문제 및 개념 JWT에 사용되는 가장 공통적인 서명 알고리즘은 HS256 및 RS256입니다. 첫 번째 HS256은 SHA256 해시 함수가 있는 HMAC를 사용하는 대칭 서명 체계입니다. 두 번째 RS256은 RSA를 기반으로 하는 비대칭 서명 체계입니다. 인터넷에 있는 많은 안내글에서는 HS256을 사용하는 것이 더 간단하기 때문에 추천합니다. 토큰 서명에 사용된 비밀 키는 토큰을 확인하는 데 사용된 키와 동일합니다. 그러나 비밀 서명 키가 손상되면 공격자는 임의 토큰에 서명하고, 다른 사용자의 세션을 위조하여 웹앱을 완전히 손상시킬 수 있습니다. HS256은 HS256 토큰을 확인하는 모든 서버에서 키를 사용할 수 있어야 하기 때문에 비대칭 키 쌍보다 보안을 유지하기가 어렵습니..

JSON WEB TOKENS 문제 및 개념 JOSE(JavaScript Object Signing and Encryption)는 인터넷에서 정보를 안전하게 전송하는 방법을 지정하는 프레임워크입니다. 웹 사이트나 응용 프로그램에서 사용자 권한을 부여하는 데 사용되는 JSON 웹 토큰(JWT)으로 가장 잘 알려져 있습니다. JWT는 일반적으로 사용자 이름과 암호를 입력하여 사용자 자신을 인증한 후 "로그인 세션"을 브라우저에 저장하여 이 작업을 수행합니다. 즉, 웹사이트는 사용자 ID가 포함된 JWT를 제공하며, 사이트에 제시되어 다시 로그인하지 않아도 사용자가 누구인지 증명할 수 있습니다. JWT는 이렇게 생겼습니다. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmbGFnIjoi..

지난번에는 AWS 페이지에서 콘솔 접근을 해봤다면, 이번엔 윈도우에서 PowerShell과 Kali 리눅스를 통한 SSH 연결을 해볼 것이다. 어렵지 않으니 잘 따라오길 바란다!! 1. 이전에 생성한 키페어 파일을 VMware KaliLinux에 옮겨 줍니다. 이후 해당 파일에 읽기 권한을 부여해 줍니다! 해당 파일은 /EC2 라는 디렉터리 생성 후 안에 넣어주었으며, 윈도우에서 VMware로 Ctrl+C ,V 로 쉽게 옮길 수 있기에 생략 했습니다. chmod 400을 통해 키페어 파일에 읽기 권한 부여! 2. 이후 AWS 페이지의 SSH 클라이언트 에서 ssh 연결 명령어를 입력해 준다. 해당 명령어 Kali에 붙혀넣기 후 명령어 실행 하면 SSH 연결이 완료 된다. 이번에는 윈도우에서 PowerSh..

보호되어 있는 글입니다.