catseoul2

LLM 기반 어시스턴트, 작업 지향 봇, API기반 에이전트와 같은 자율 AI 에이전트는 브라우저, 클라우드 서비스, 모바일 앱 전반에 걸쳐 배포되고 있다.외부 도구와 상호작용하고, 작업을 수행할 수 있다는 장점이 있는 반면에 동시에 새로운 보안 위협을 야기할 수 있다. AI 에이전트는 입력이나 환경이 악의적으로 조작될 경우 의도치 않은 동작을 하도록 조작 가능 자율 AI 에이전트의 주요 취약점 AI에 특화된 가장 중요한 위협프롬젝트 인젝션 : LLM 기반 시스템에서 가장 두드러지는 취약점 공격자는 모델이 개발자의 지시를 무시하고 공격자의 지시를 따르도록 하는 입력을 조작 - 공격자의 프롬포트는 모델이 합법적인 지시와 구별할 수 없는 방식으로 모델의 컨텍스트에 주입된다.-> LLM이 의도치 않은 방식으로..

XOR입력이 서로 다른 경우에만 참인 논리 연산 암호화에서의 응용메시지를 암복호화 하는데 사용될 수 있다. 메세지를 키와 XOR 연산하면 같은 키로 XOR 연산을 수행하여 원래 메세지를 복원할 수 있다. 혼돈과 확산을 구현할 수 있다. 활용 사례- One Time Pad- 스트림 암호- 블록 암호 내부 구조 - 해시 함수 및 MAC- 디지털 서명, 난수 생성기 내부 한계단독으로는 매우 약한 암호화 방식 -> 같으 키 재사용 시 패턴이 노출되므로 난수 키 생성기, 블럭 암호 구조, 패딩 등과 함꼐 사용해아 한다. 실습코드 import syssys.stdout.reconfigure(encoding='utf-8')def xor_byte(data, byte): return data ^ bytedef mai..

54586b6458754f7b215c7c75424f21634f744275517d6d -> 이게 단일 바이트와 XOR해서 만들어진 암호라 하였으므로 얘를 이용하여 문제를 해결할 수 있다. import syssys.stdout.reconfigure(encoding='utf-8')def xor_byte(data, byte): return data ^ bytedef main(): hex_string = "54586b6458754f7b215c7c75424f21634f744275517d6d" hex_list = [int(hex_string[i:i+2], 16) for i in range(0, len(hex_string), 2)] for xor_value in range(256): ..

지금까지의 웹 마케팅은 제 3자 쿠키를 활용하여 사용자의 웹 활동을 추적하고, 여러 사이트에 걸쳐 프로파일을 만들고 이를 광고 등에 활용해왔다.하지만 점차 post-cookie 시대가 다가오고 있다. 제 3자 쿠키를 대체하는 것이 웹 아이덴티티 개념이다.- 분산 식별자 : 공개 키와 서비스 엔드포인트를 나열하는 문서(네트워크에 연결되거나 앵커링된 문서)로 해결된다. 키를 회전하고 동일한 DID를 유지하고, 중앙 레지스트리가 필요하지 않다. - 검증 가능한 자격증명 : 신뢰할 수 있는 사람(은행, 대학, 브랜드)이 발급한 디지털 서명 청구서이다.- 제로지식 증명 : 기본 데이터를 공개하지 않고 진술을 증명한다. 작동 패턴1. 크리프 없는 충성심 -> 데이터 최소화 + 동의 기반 맞춤화 리테일러가 ‘골드..

1. 인공지능 기반 개발 환경의 등장과 새로운 보안 리스크오늘날 인공지능(AI) 기술의 발전이 가속화되면서 소프트웨어 개발 환경 또한 무섭게 진화한다. AI 기반 개발 도구가 보편화되면서 개발 효율성이 비약적으로 향상되었지만, ‘신뢰할 수 없는 코드‘와 ‘의도치 않는 정보유출’ 관점에서 우리는 새로운 보안 리스크에 직면한다.AI는 태생적인 한계로 인해 코드 생성 과정에서 고객사가 정한 보안 규칙을 준수하지 않거나, 의도치 않게 보안에 취약한 코드 패턴을 제시할 수 있다. 이로 인해 정보 유출의 가능성은 항상 존재한다.주요 잠재적 위협 요소는 • 자동 생성 코드의 불확실성.• 훈련 데이터 한계.• 외부 데이터 및 플러그인 의존.국내외 보안 전문 기관 및 단체(NIST, OWASP 등)는 AI 기반 개발 도..

CSP란Content Security Policy (CSP, 컨테츠 보안 정책)은 웹 페이지에서 검색하고 실행할 수 있는 리소스를 정의하는 보안 계층이다. XSS나 데이터를 삽입하는 공격이 발생하였을 때 피해를 줄이고 웹 관리자가 공격 시도를 보고 받을 수 있다. 형식Content-Security-Policy: ; 는 형태로 구성된다. 는 지시문으로 칸테츠 내에서 로드하는 리소스를 세분화해 어떤 리소스에 대한 출처를 제어할지 결정한다. 부분에는 에서 정의한 리소스의 출처를 정의한다.의 종류default-src : -src로 끝나는 모든 리소스의 기본 동작을 제어함. 만약 CSP 구문 내에서 지정하지 않은 지시문이 존재하면 default-src 정의를 따름img-src : 이미지를 로드할 수 있는 출..

vm을 실행해서 처음 본 화면이다.flag 버튼을 클릭해서 들어가보면 위의 사진과 같은 화면이 뜨고 아마 param의 값을 구해야 하는 것 같다, 제출 버튼 누르면 아래와 같은 팝업창이 뜬다. #!/usr/bin/python3from flask import Flask, request, render_templatefrom selenium import webdriverfrom selenium.webdriver.chrome.service import Serviceimport urllibimport osapp = Flask(__name__)app.secret_key = os.urandom(32)nonce = os.urandom(16).hex()try: FLAG = open("./flag.txt", "r")..

한국인터넷증흥원에서 발표한 2024년 침해사고 유형 TOP5는 랜섬웨어, 아겅코드 C&C, 악성 사이트 유도, 정보 유출, 웹 페이지 변조이다. Windows 기반 웹 서비스 환경에서는 공격자가 취약점이나 웹 관리자 크리덴셜 탈취, 악성 파일 업로드 등을 통해 웹 서비스 접근 권한을 획득한 뒤, 외부 광고 스크립트나 악성코드를 삽입하는 사례가 발견되고 있다. 무단으로 삽입된 스크립트는 광고 수익을 위한 외부 광고 유출, 가상화폐 마이닝, 피싱 페이지 리디렉션 등의 다양한 공격으로 이어질 수 있다. PLAINBIT에서 식별한 광고 스크립트 삽입 공격에서 사용된 악성코드는- 이전 공격들과 동일한 구조의 악성코드 사용- 특정 경로에 악성 파일들을 생성위와 같은 공통점이 존재하지만- 분석 활용도구 비활성화- 보..

1. OECD 프라이버시 8원칙 중 아닌 것은?수집 제한의 원칙정보 공개성의 원칙목적 명확화의 원칙안정성 확보의 원칙책임의 원칙 2. 기업의 사회적 책임 단계를 모두 고른 것은?ㄱ. 자선적 책임 ㄴ. 경제적 책임 ㄷ. 논리적 책임1. ㄱ2. ㄱ,ㄴ 3. ㄴ,ㄷ4. ㄱ, ㄷ 3. 개인정보처리자와 개인정보취급자 중 옳은 것은? 1. 개인정보취급자는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자2. 개인정보처리자의 대상 중 개인은 포함되지 않는다. 3. 개인정보취급자는 고용관계가 있어야만 개인정보취급자에 해당한다. 4.업무 처리를 위하여 알바에게 고객 개인정보를 열람하게 허용한 경우, 알바는 개인정보취급자에 해당한다. 4. 개인정보의 가명, 익명처..

그러면 위에서 확인한 크롬 확장 프로그램에서 opensafe()라는 함수에서 유저의 계정을 call하고 있다. 그리고 console창에서 내 계정이 나와야 하는데 안 나온다 .GPT: ethereum 확장 프로그램 환경에 ethereum 객체가 없으니 생기는 오류라고 설명한다. (https://juchan-story.tistory.com/45 : 여길 참고해서 MetaMask 확장프로그램을 설치했다. ) 이제 콘솔 창에 log는 나오는데 입력을 하려고 하면 오류가 뜬다. 문제를 보니 sepolia로 변경하고 하라고 한다. 변경하는 것도 어렵다... 꼭 "크롬확장프로그램"의 MetaMask에 들어가서 https://support.metamask.io/configure/networks/how-to-view-..