소개 타이포스쿼팅은 인터넷 사용자가 실수로 발생시키는 오타를 이용하여 악의적인 목적을 달성하는 인터넷 보안 공격의 한 형태입니다. 이 공격은 사용자가 의도치 않게 정확한 도메인 이름이나 웹 주소를 잘못 입력할 때 발생하며, 이를 통해 공격자는 사용자들을 속여 개인정보를 탈취하거나 악성 코드를 배포하는 등의 행위를 수행할 수 있습니다. 타이포스쿼팅의 개념 타이포스쿼팅은 올바른 도메인 이름 또는 웹 주소의 오타를 이용하여 비슷한 형태의 도메인을 등록하고, 이를 통해 사용자들을 유인하거나 혼란을 일으키는 악의적인 행위를 의미합니다. 이 공격은 일반적으로 사용자가 흔히 발생시키는 철자 오류, 대소문자 구분 오류, 또는 단축형 오류를 이용하여 도메인을 등록하고, 이를 통해 사용자들을 속여 정보를 탈취하거나 악성 ..
이번 글은 DiceCTF 2024의 MISC, Web 문제들을 정리하였다. [ MISC ] misc/welcome dice{flag!} 단순 대회 룰 숙지 겸 문제이다. misc/survey 설문이 끝나면 플래그 값이 있는 링크를 준다. [ Web ] web/dicedicegoose 문제 페이지로 이동하면 위와 같은 사진이 나온다. wasd로 주사위를 움직일 수 있다. 소스코드를 확인하면 아래 코드를 볼 수 있다. 점수가 9점이어야 플래그를 알려준다. 또한 소스코드를 보니 history에는 player와 goose의 게임 내 이동 기록이 저장된다. 위 내용을 참고하여 9점에 게임이 끝나도록 아래와 같이 history에 값을 재설정해주었다. history = [[[0,1],[9,9]] ,[[1,1],[9,..
QR코드로 해킹하기 (Qshing에 대하여) 사담 근래 회사 분과 식사하기 위해 식당에 갔더니 테이블에 있는 QR코드를 사용하여 주문해달라는 안내를 받았다. 이런 프로세스는 처음 겪어봐서 점점 연세가 있으신 분들은 외부 활동이 어려워질 것 같다고 생각하고 있었다. 그러던 중 회사 분이 한마디 툭 던지셨다. "QR코드도 해킹할 수 있는 거 알아요?" 이 말을 듣자마자 생각이 들었다. '와.. 설마 피싱 사이트 만들고 QR코드를 따서 낚아버리는 건가?' 하며 그대로 얘기했더니 맞다고 하셨다. 역시 해킹은 창의적이고 악랄해져야 나도 그만큼 예방하고, 대응할 수 있겠구나 하는 생각이 들었다. 수법은 쉬울 뿐 어떻게 활용하냐의 차이... 그렇게 흥미로운 QR코드 해킹 즉, '큐싱(Qshing)'에 대해 정리해 보..
Zip Bomb : Decompression bomb로도 불리며, 압축을 풀었을 때 엄청난 리소스를 소모하게 만드는 파일을 이용한 공격 체크가 필요한 대상 압축을 해제하는 디바이스(모바일, PC 등) 서버 내 처리를 위해 Decompression 하는 경우 PK헤더를 사용하는 포맷(e.g Office의 OXML)을 처리하는 도구들 공격기법 Single-layered Zip 파일 내 단일 레이어로 구성한 Zip Bomb 공격기법으로 파일의 헤더, 내용 등을 겹쳐써서 만듦 예시로는 zbsm, zblg, zbxl이 있음 https://github.com/ZerosunGitHub/zipbomb Multi-layered 여러 레이어를 포함하는 Zip Bomb 공격기법 예시로는 42.374 bytes의 압축파일을 ..
