dookie2

안녕하세요. 마지막. 포스팅을 이후로 1년 6개월가량 지난 시점에 다시 회고록을 작성하려 방문했습니다.이전의 회고록과 마찬가지로 제 글을 읽어보시는 분들이 긍정적으로 영향을 받고, 방황하지 않고 많은 시간을 허비하지 않는 데에도움이 될 수 있었으면 하는 바람입니다. ㅎㅎ :) 저는 지금 대학교를 졸업한 뒤 1년하고도 약간의 시간이 흐른 시점입니다.취업을 목표로 공부하다 보니 아무래도 필요한 역량이 무엇인지 점검해 보는 시간이 필요했는데요.이를 위해서는 다른 사람들의 지표나 포트폴리오를 확인해 보며 알고리즘 역량이 키워야 한다고 생각하게 되었습니다.우리가 직면하는 문제를 식별하고 이를 프로그래밍을 통해 코드로 녹여낼 수 있는 능력은 연차를 쌓아갈수록 더욱 필요한 역량이라는생각이 드는데요. 이를 알고리즘이라..

대학교 학부생으로써 올해 정보보안학과를 졸업하고 지금까지 정보보안과 관련된 공부를 해왔습니다. 자연스레 자격증을 준비하거나 BoB 활동을 통해 CS 지식을 넓히고 다양한 경험을 해보면서 공격자 관점에서 insight를 넓힐 수 있었던 것 같습니다. 해수로는 4년 정도 공부를 해왔는데, 확실히 보안과 관련해서 연구직 혹은 시니어 연구원 으로 성정하기에는 개개인의 성향과 적성이 맞아야 한다는 것을 매번 느낍니다. 그래서 최근 연구 동향을 파악하며 개인적으로 느낀 바를 정리해보며 진로를 고민하는 후배들이 참고할만한 조언을 제공해보고 싶어 회고록을 작성해보게 되었습니다. 뛰어나진 않지만 먼저 공부를 시작한 선배로써 진로 결정에 도움이 되었으면 좋겠습니다. 다른 사람에게 참견할 상황은 아니지만요 ㅎㅎ.. 제 코가..

오늘 23년 2회차 실기 결과가 나왔습니다. 다행히 합격했네요. 2023 알기사 서적으로 공부했고, 문제의 50% 정도는 기출문제집에서 나온 것 같습니다. 다른 자격증과는 다르게 기출 문제집의 문제만 모두 맞춘다면 합격 커트라인인 60점 언저리인 것 같습니다. 그래서 기출문제집 외의 문제 중 자기가 아는 문제로 나와야 합격 가능성이 높아지는 시험입니다. 다른 자격증의 경우, 다른 사람들에게 도전해보라는 말을 가볍게 던질 수 있겠으나 보안기사는 공부를 잘못하면 시간 낭비가 될 수도 있는 만큼 쉽게 권하지는 못하겠어요. 성실히 공부 + 운적인 요소가 갖춰져야 합격할 수 있는 시험이니까요. 실기 공부는 아이패드를 활용해 최대한 적어가며 공부했습니다. 적어도 기출문제집에서 나오는 문제는 다 맞춘다는 방향으로 공..

23년 2회차 필기시험을 보고 왔습니다. 문제 출제가 KISA에서 KCA로 변경되고 좀 더 쉬워졌다는 소리를 듣고 많이 안심했네요. 결과는 합격했습니다! CBT 시험이라 처리기사와 동일하게 문제은행방식이라고 생각했는데 기출문제에서 약간 변형해 문제가 출제되었던 것 같아요. 만약 기출문제집을 푼 이후 오답을 확실히 했다면 쉽게 풀 수 있는 난이도라 생각됩니다 ㅎㅎ.. 외에도 알기사 서적에서는 나오지 않는 개념이 문제로 몇 문제 출제되는데, 배웠던 부분에서 점수를 많이 얻으셨다면 부담스럽지 않은 정도입니다. 보안기사가 어려운 이유는 필기보다 실기라고 하는 만큼, 필기를 공부할 때 실기를 같이 준비하는 느낌으로 공부해야 할 것 같습니다 ㅎㅎ.. 정보보안기사를 준비하는 수험생분들 화이팅이에요! 공부법 2023 ..

오늘 23년 1회차 실기 결과가 나왔습니다. 합격했네요. 2023 시나공 실기 서적으로 공부했고, 이론을 노트에 써내려가며 공부했습니다. 산업기사와는 다르게 범위가 너무 많아 공부하는데에 어려움이 있지만 시나공 서적의 파트 별 중요도 표시를 적절하게 활용했습니다. 이전과는 다르게 실기의 답을 써내는데 단답식, 서술형으로 적는 방식에서 보기가 주어지는 방식으로 바뀐 듯 합니다. ㉠ 선택지1 ㉡ 선택지2 이런 방식에서 ㉠ , ㉡ 을 고르는 것처럼요. 아무래도 정보처리기사 실기를 준비하는 수험생분들이 좀 더 편한 마음으로 준비할 수 있어 보입니다. 또 문제 유형의 절반 이상이 보기에서 고르는 선택지 유형인만큼 모든 것을 암기한다는 부담은 덜었으면 좋겠습니다 ㅎㅎ. 다들 화이팅~

23년 1회차 필기시험을 보고 왔습니다. 합격 ㅎ,ㅎ 이번에도 CBT 시험으로 응시를 했는데, 확실히 문제 은행 방식이라 PBT방식보다 부담이 덜해서 좋습니다. 산업기사와 마찬가지로 23년도 시나공 서적으로 공부를 했는데 서적 범위에서 많이 나왔습니다. 덕분에 문제 풀기가 수월했는데, 정보처리기사는 문제는 갈수록 쉬워지는 것 같은데 범위가 엄청 많더라고요.. 정보처리산업기사와 비교하면 문제 난이도는 비슷하나 범위가 2배 이상? 이 부분에서 마음의 준비를 하셔야.. ㅜ.ㅜ 정보처리기사를 준비하는 수험생분들 화이팅이에요! 공부법 시나공 기준 중요도 A, B에 해당하는 내용을 중심으로 꼼곰하게 공부하면서 기출문제를 많이 풀어보는 방향으로 공부했습니다. 중요도 C, D의 경우 1 ~ 2번씩 훑어보는 느낌으로 넘..

policyKit은 시스템 전체의 권한을 제어하기 위한 툴킷입니다. policyKit 내부에 존재하는 pkexec의 경우, 특정 명령어를 사용자 정책에 따라 상위 권한으로 실행할 수 있도록 도와주는 도구입니다. 최근 이런 툴킷에서 취약점이 발견되고 있습니다. 이번에 분석하는 CVE-2021-4034은 pkexec에서 취약점이 발견되었으며, root 권한의 setuid가 설정되어 있어 LPE가 가능한 취약점입니다. 바로 문제가 되는 main의 소스코드를 살펴보겠습니다. 반복문을 통해 n = argc - 1임을 생각해볼 수 있습니다. path에 argv[n]에 해당하는 값을 넣게 되는데, 만약 argv가 null로 설정되어 있다면 argv[1]을 참조하게 되면서 Out-of-bounds가 일어나게 됩니다. ..

22년 1회차 실기 결과가 나왔습니다. 다행히 합격했네요. 교재는 시나공 문제서적으로 공부를 했고, 시나공 서적 범위에서 많이 나왔습니다. 네트워크나 프로그래밍 언어, DB 관련은 편하게 공부할 수 있어서 취득하기 쉬웠던 자격증이 아닌가 싶습니다. 개인적으로 2022 실기보다 2022 필기 CBT 시험이 더 어려웠던 것 같습니다. 참 희한하네요. 프로그래밍에 자신있는 분은 취득하기 쉬운 자격증이니 한번 도전해보는 것도 좋을 것 같습니다.

오늘 22년 1회차 실기 결과가 나왔습니다.. 바로 조회를 해보니 합격했습니다 ... 이것 저것 신경쓴다고 제대로 시간을 투자하지 못했는데 다행히, 문제가 생각보다 평이하게 나와서 크게 어렵진 않았습니다. 교재는 알기사 문제서적으로 공부를 했고, 거의 서적 범위 내에서 나왔네요. 80점 정도 나올 것 같았는데.. 채점 기준이 엄격한 건지, 제가 잘못적은 건진 몰라도 62.5로 턱걸이 합격했습니다. 이런 거보면, 실기는 배운 이론을 글로 잘 적어내는 것이 중요한 것 같습니다. 자격증을 준비하는 분들이라면 이론을 꼼꼼하게 서술형으로 써내는 방식으로 공부하면 좋은 결과가 있을 거라 생각해요!

libc leak없이 libc 메모리 주소에 aaw를 해야하는 상황에서 많은 삽질을 하다가 해당 기법을 알게되었는데요.. Stack Pivot은 특정한 쓰기 가능한 공간에 Fake Stack을 구성해 놓고 rsp로 스택의 위치를 바꿔 Chanining을 이어갈 수 있는 기법입니다. 해당 기법은 SFP와 leave Gadget을 사용하므로 최소한 RET 주소까지는 오버플로우가 일어나야 합니다. 보통 오버플로우 기법을 이용할 때 입력 공간이 부족한 경우 이용하게 됩니다. 조건 최소한 RET까지 오버플로우가 일어나야 한다 leave ; ret ; 가젯이 있어야 함 leave 의 경우 mov rsp , rbp ; pop rbp ; 와 같이 Gadget 조각을 모아 조건을 성립시켜줘도 됨 Fake Stack의 위..