CS/보안

Set-UID Privileged Programs

1. Privileged Program의 필요성 Privileged program (특정 프로그램에 임시로 특권을 줌) ex. 일반 유저가 패스워드 바꿔야 할 때 2. Two-Tier Approach 특권이 요청되는 작업을 할 수 있는 방법 두가지 OS에서 세분화된 액세스 제어를 구현 Operation 종류에 따라 미세 컨트롤 ⇒ OS가 지나치게 복잡 해짐 ⇒ 버그 생길 가능성이 높아짐 확장 기능에 의존하여 세분화된 액세스 제어 수행 일반 프로그램 보다는 특권을 가진 Privileged Program을 만들어서 Program이 OS에게 요청 3. Privileged Program 종류 Demons 백그라운드에서 실행 root 또는 특권 가지고 실행 Set-UID Programs UNIX 시스템에서 널리 ..

스택 구조

Stack BOF를 공부하던 중 스택의 구조와 동작 원리가 잘 정리되어있는 블로그가 있어 기록한다. 스택의 구조 지금까지 배운걸 간단히 정리하면 다음과 같다 (세그먼트4는 세그먼트 n이라고 보셈.. 숫자를 잘못 입력했다는..) 8086메모리는 4기가 메모리 기준으로 2기가 커널 영역과 2기가 2기가 유저 영역이 wogh8732.tistory.com 함수 프롤로그(prolog) / 함수 에필로그(eplilog) jiravvit.tistory.com/entry/dreamhack-pwnable-offbyone000-%ED%92%80%EC%9D%B4 [dreamhack : pwnable] off_by_one_000 풀이 jiravvit.tistory.com 이 문제 풀이를 작성하다가 한가지 의문이 들었다. EB..

컴퓨터 보안 소개 (Introduction to computer security)

1. Threats 취약점을 악용해서 공격할 수 있는 위협 vulnerability : 취약점 (버그) exploit : 프로그램에 존재하는 버그를 악용하는 input exploitable : 버그를 이용해서 sw를 성공적으로 장악할 수 있다. (공격하는데 사용할 수 없다면 exploitable 하지 않다.) 2. Threat Model 공격자와 방어자의 능력을 정의하는 것 3. Hackers Black hat hackers White hat hackers Grey hat hackers : Black + White 4. Black hat hacker가 하는 일 컴퓨터 장악 사회공학적 기법 (피싱메일 / USB에 악성코드) 무식하게 비밀번호 모든 조합 시도 DoS attack : 패킷 날려서 접속 안되게 ..