min`s story

클라이언트측 언어(Clientside Language)

-HTML,javascript,XML,.....

-사용자의 웹 브라우저에서 실행(서버하고는 전혀 상관이 없다)

-HTTP

서버측 언어(Serverside Language )

-PHP,pthon,..

Javascript

-1900년대 넷스케이프에 의해서 제일 처음 도입

-넷스케이프의 점유율이 90%이상

-다른 웹 브라우저도 지원을 안할수 없었음

-비주얼 베이직,액션 스크립트,...

-현재는 웹 표준이 되었다.

-java와는 전혀 상관이 없다

실행

1).콘솔에서 직접 실행

개발자 도구 크롬(F12)

F12->개발자 도구 ->console

2).URL 입력창을 통해 직접 실행이 가능하다 

javascript:코드

3)index.html 

페이지에 직접 넣어도 상관이 없다 

alert("alert!!!!!:);

입/출력: *웹 브라우저*<어디서 발생하는지 인지를 항상 하고있어야한다>

-서버와는 아무 상관이 없다.

-웹 브라우저에서 어떠한 자바스크립트 코드를 사용하든 서버는 알 수 없다. 

-서버에 값을 전달하고 싶은 경우 소켓으로 통해 직접 전달이 가능하다

1.입력

1).prompt

ex)prompt("input:  ");

2). confrim

ex)confirm("yes of no")

2.출력

1)콘솔

-console.log("Hello world");

2)화면 

document.write("Hello,Javascript<br>");

입출력 예시)

<html>

<head>

        <script>

                console.log("asfas,javascrot");

                console.log( confirm("yes of no") );

                document.write("gefaedas");

                document.write(prompt("ANY INPUT"));

        </script>

</head>

<body>

</body>

</html>

자료형 

-문자열(",'구별없이 사용이 가능하다),숫자(실수,정수)

변수

-변수를 정의해서 사용(선언 x)

-var 변수이름=값;

-지역번수 vs 전역변수 구분할때 var이 중요하다

var이 없으면 무조건 전역변수로 사용되기 때문에 구분을 위에 알아야한다

-변수의 이름을 짓는 규칙도 동일하다

비교 연산자

같다

1).= =(타입은 보지않는다 값이 같으면 같다고 표현한다 취약점에서 많이 쓰인다)

2).= = =(타입까지 보고 싶으면 3개를 써야한다)

같지않다(!=,!==)

3일차

!웹 해킹은 웹에 대해서 잘 알면 알수록 쉬워진다.

문서를 나타내는 태그(요소)

-제목,단락,링크,

Html 그림: img태그

-src:그림에 대한 경로/URL을 적어줘야한다

<img src="http://uhd.img.topstarnews.net/wys4/file_attach/2017/07/13/1499928397-25.jpg"/>

이런식으로 사용가능하다 img태그도 셀프태그라서 따로 설정할게 없다 

-인라인 태그

-width:픽셀 단위 20,20px,20%

-height:픽셀 단위 

url 말고 파일로도 설정이 가능하다 (리눅스에 파일 넣는법)

링크:a,link

-관련 있는 파일을 해당 페이지와 연결

-type: text/css

-href: path or url

-rel:  파일 정보 

*디자인적인 요소 *

블록 태그:h,p,a

요소 하나가 한 블럭을 차지한다 

한태그가 한블럭을 전부다 차지한다고 보면된다

인라인 태그:img,div

하나의 요소가 한블럭은 전부 차지하지 않는다 

스타일 속성

-글로벌 속성 

-배경색 지정 

background-color:red

background-color:#RGB

background-image:url/path

<p style="background-color:red">

background-image:url/path

태그를 묶어서 특성을 표현할때 사용한다

예를 들어서 p태그로 여러개 있을때 

<p id="">

<p class="">

      각자 식별자를 지정하고 묶어서 스타일을 지정할수있다 

id,class

-id: 요소를 식별하는 식별자를 지정

-유일한 식별자

-id를 사용하는 요소가 하나뿐인 경우

id는 앞에 #을 붙이면 되고

-class:요소를 식별하는 식별자

-그룹 식별자

-여러 요소를 그룹화 하는 경우

class는 .을 붙이면 된다

표:table

<table>    <!-- 테이블의 시작 -->  

<thead>  </thead><!-- 테이블의 정보 --> 

<tbody> <!-- 테이블의 내용--> 

<tr>

<th> </th> <!-- 제목을 강조하는 칼럼--> 

<td> </td>        <!-- 한 컬럼을 나타낸다-->

</tr>                          <!-- 한행을 나타낸다-->

</table>

합병 colspan=숫자 <!-- 테이블의 끝 --> 

bootstrapk < 디자인 서식을 가져다 쓰면 전문가 처럼 사용이 가능하다

<!-- 합쳐지고 최소화된 최신 CSS -->

<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">

<head> 파일에 추가하고 쓰고싶은 특성을 찾아서 쓴다

웹 기초 프로그래밍

1.HTML

-Hypher Text Markup Language

    -엄밀하게 언어라고 말할 수는 없다.

-분기, 반족,함수, ....개념이 존재하지 않는다.

  -문서에 대한 구조를 정의

WEB 2.0

-> 플래시(액션 스크립트

-> 엑티브 엑스

-> 자바(애플릿)              과거에는 HTML을 동적으로 표현하기 위해서 사용

-> 자바스크립트

-> 비주얼 베이직 스크립트

...

WEB 3.0

-> HTML5 발표

-> 자바스크립트(표준) ->Ajax,jquery,node.js,.....

-> CSS

   프론트핸드

-> 의미론적인 웹

참고 사이트

1). 국내 사이트

-생활 코딩

-생활 코딩 + 구글 ->웹 프로그래밍(신청)

2). 외국 사이트 

-codecademy 

-w3school

2.환경 구성 

-HTML 문서를 공유하기 위해서는 서버가 필요

-웹 서버: 아파치(httpd)

-설치 

#yum search httpd

#yum -y install httpd.i686

#service httpd start

-설치 확인 홈페이지에 자기ip주소 검색하면 가능하다

-설정 파일: /etc/httpd/conf.d/*.conf

    /etc/httpd/conf/httpd.conf

-홈 디렉터리: /var/www/ (아파치 사용자의 홈디렉터리)

      /var/www/html/(문서의 홈 디렉터리)-안에 파일을 넣어 둘수 있다

      홈 디렉터리 안에만 넣어두면 브라우저를 통해서 확인이 가능하다

3.html 문서의 기본 구조

<html>  <!--html 문서의 시작을 나타냄 -->

<head>

  <!-- 문서의 정보 -->

<!-- 스크립트 -->

</head> <--!화면에 보이지 않는 내용들 -->

<body>  <--! 화면에 보여지는 내용들 -->

</body>

</html>  <--! html 문서의 끝 -->

1).태그(elements/요소)

-여는 태그(begin/opening): <tag name> 

-닫는 태그(end/closing) : </tag name>

-self closing: <tag name> or <tag name/>

-표현할 내용이 없는 태그들 

-문서의 형식을 나타낸다.

-요소:<tag name> contents..</tag name>

1). 제목 태그:heading

<h1></h1>: 가장 큰 제목

<h2></h2>: 중간 제목

<h3></h3>: 소제목

<h4></h4>

<h5></h5>

<h6></h6>

속성 align 정렬 

<h align=center>

2). 본문/단락 태그: paragrph,div,span...

<p>....</p>

<p> 마지막에 줄바꿈이 들어간다

<div> 줄바꿈이 들어가지 않는다

3-2. 속성(attribute

-여는 태그에서 설정 

-속성값을 통해서 세부적인 내용을 변경

1). 일반적인 속성

-태그에 종속적인 속성

-태그마다 속성은 다르다.

2). 글로벌 속성

-태그와 상관 없이 어떠한 태그든 사용 가능한 속성

-스타일 속성 

3). 이벤트 속성

-글로벌 속성이

-태그별로 이벤트를 지정

문서에서 사용되는 대표적인 태그

1.그림

2.표

3.링크(하이퍼 링크): anchor,link  문서와 관련된 다른 문서를 나타내는 표현

<a href="url"> 링크 제목 </a>

index.html < 기본 홈페이지다 만약 192.168.190.128로 서버주소와 페이지 이름없이

접속했을때는 index.html이 나온다 

4.목록(목차): ordered list, unordered list

<ol>

<li> </li>

<li> </li>

</ol>

 정렬, 비정렬 차이- 숫자가 있나 없나의 차이

리스트안에 리스트로 중첩이 가능하다

리눅스 명령어 

명령어

명령어 사용 예

-리눅스 명령어는 대,소문자를 구분한다

명령어의 도움말

#CMD -h

#CMD -help

#CMD --help

-간단하게 명렁어 사용법과 옵션을 확인 할 수 있다.

#man CMD

-명령어에 대한 옵션,사용방법 등 다양한 정보를 상세하게 확인 할 수 있다

NAME -간략한 설명

SYNOPSIS -사용 방법 요약

DESCRIPION -상세내용

SEE ALSO -기타내용

man 설치

yum -y itall man //man 패키지 설치

#man clear clear에 대한 옵션 설명을 볼 수 있다

화면으로 돌아오는건 q

pwd -현재 위치한 경로를 확인

ls -파일의 목록 출력

<옵션>

-a: 디렉토리 내의 모든 파일 출력(.으로 시작하는건 숨김 파일이다)

-i : 파일의 inode와 함께 출력한다.-l : 파일 허용 여부, 소유자, 그룹, 크기, 날짜 등을 출력한다.

-m: 파일을 쉼표로 구분하여 가로로 출력한다.

-r : 정렬 옵션이 선택되었을 때, 그 역순으로 출력한다.

-s : KB 단위의 파일 크기를 출력한다.

-t : 최근에 만들어진 파일 순서대로 출력한다.

-x : 파일 순서를 세로로 출력한다.

-F : 파일의 형태와 함께 출력한다.

-R : 서브 디렉토리의 내용을 포함하여 출력한다. 

-S : 파일 크기가 큰 순서로 출력한다. 

-U : 정렬하여 출력한다. 

-1 : 라인당 한 파일씩 출력한다. 

--help : 도움말을 화면상에 나타낸다. 

--version : 'ls'의 파일 버전과 함께 출력한다.

-rw-------. 1 root root 1093 2017-11-16 06:41 anaconda-ks.cfg

#ls -l 명령어 필드 구조

파일 구조 -

- 일반파일

d 디렉토리

l 심볼릭 링크

접근 권한 rw-------.

하드링크 개수 1

파일 소유자 root

파일 그룹소유자 root

파일크기 1093

마지막 수정시간 2017-11-16 06:41

파일 이름 anaconda-ks.cfg

파일의 종류를 나타내는 기호

일반 파일 -공백

실행파일 -*

디렉토리 -/

심볼릭 링크 -@

​

옵션 ls -l 명령어 필드 구조

-rw-------.

파일 종류 

-일반파일

d 디렉토리

l 심볼릭 링크

파일의 종류를 나타내는 기호  

일반 파일 - 공백

실행파일 -*

디렉토리 - /

심볼릭 링크 -@

**정말 중요한 경로 설정

상대주소와 절대주소의 개념 

   cd -디렉토리 변경 

cd[경로[

cd[변수]

cd[문자]

cd  명령어의 옵션 과 절대주소,상대주소의 개념 

cd .. 상위 디렉토리 이동

cd . 현재 디렉토리를 기준으로 이동

cd / 최상위 디렉토리로 이동

1.리눅스의 구조

쉘-명령어 해석기,

커널-시스템 소프트웨어(다루기 위해서는 쉘을 이용해야한다)

하드웨어-커널이 하드웨어에 요청함 

쉘 Bash 

-본쉘을 개량하여 만들었다

-다양한 리눅스 배포판에서 기본 쉘로 채택하여 사용하고 있으며, 그외의 쉘은 거의 사용하지 않는다

[root @  loaclhost ~]   # <-프롬프트

 (1) (2)  (3)     (4)  (5) 

(1) 계정명- 현재 로그인한 계정명이 위치하는곳

(2) 계정명과 호스트 네임을 구별하기 위한 구분자

(3) 호스트네임 - 접속한 서버의 이름이 위치하는곳

(4) 디렉토리 경로 - 현재 위치한 경로의 마지막 디렉토리명이 출력되는 곳 (~ 은 홈 디렉토리를 뜻한다)

(5) 현재 로그인한 계정이 root 면 #을 표시하고 나머지 계정은 $를 표시한다 

login&logout 

login-파일 및 디렉토리에 대해 접근 및 사용권한을 얻어 시스템을 사용할 수 있게 되는 과정

logout - Ctrl+D

#exit

#logout

2.Bash의 기능(꿀팁)

탭완성

-사용하려하는 명령의 일부만 입력하고,tab키를 이용하여 완성한다.

ex) /etc/sysconfig/network-scripts

tab을 눌러도 나오지 않으면 중복되는게 있다는건데  그럼 tab tab을 눌러서 확인한다

        장점: 오타가 줄어들수있다 tab기능을 쓰고 안쓰고는 큰 차이가 있다

히스토리

-이전에 실행했던 명령어를 재 실행 할 수 있다.(방향키로 조절이 가능하다)

#history 명령어로도 확인이 가능하다(최대 1000개 까지 저장이 가능하다)

느낌표에  <!히스토리 번호> 누르면 똑같이 명령어 대입이 가능하다

알리아스(alias)

-명령어에 별칭을 지정해서 간편하게 사용하도록 만들어주는 기능

  #alias [name]="[command]" //알리아스 설정

#unalias [name]    //알리아스 해제

#alias   //현재 시스템에 설정된 alias 확인

중괄호 확장

-괄호를 기반으로 명령어를 확장할 문자열을 콤마(,)로 구분해서 작성하고, 중괄호 앞뒤에는 치환되지 

않는 패턴을 적어 문자열을 생성 할 수 있다

단축기

<Crtl+A> 줄의 처음으로 커서를 이동 

<Crtl+E> 줄의 마지막으로 커서를 이동

<Crtl+L> 화면을 지움  -clear 와 동일한 효과를 가질수 있다

<Crtl+C> 강제 취소 (<ESC>와 동일)

<Crtl+Z> Fpreground 명령의 실행 일시 중지

3.리눅스 파일 시스템

리눅스의 파일

Linux 시스템에는 모든 정보와 장치가 파일 단위로 구성된다.

-일반 파일 

실행 파일, 이미지 파일, 텍스트 파일

-디렉토리 파일

파일을 효율적으로 관리하기 위해 생성하는 파일

-링크 파일

원본 파일을 대신하여 다른 이름으로 파일명을

지정한 파일로, 원본 파일을 가리키는 역할만 하는 파일

-장치 파일

장치 파일은 리눅스 시스템에 부탁된 장치(H/W)들을 관리 하기 위한 특수파일

내컴퓨터->C:\ ->물리적으로 H/W 접근

  /dev ->sda

Xshell5를 이용하여 원격 접속 하기

원격 접속이 필요한 이유

복사 붙여넣기와 폰트 좀더 쉽게 하기 위해서

처음 설정이 어렵지 그뒤는 리눅스를 하기가 편하다

ssh-원격지에 위치한 컴퓨터에 안전하게 로그인하여

명령어를 실행할 수 있는 환경을 제공하는 프로그램 

vmware pro 에서 virtual network editor 환경에 접속한다 

 subnet ip 주소와 NAT Settings 에 접속하여 위에 환경처럼 ip주소를 설정해준다 

다음은 터미널에서 

#vi /etc/sysconfig/network-scripts/ifcfg-eth0 접속후

안에 내용을 이렇게 수정해 준다 

#service network restart

#ifconfig

FIN7 해커조직, 최근 금융기구 타깃으로 APT 공격 포착

http://www.boannews.com/media/view.asp?idx=57870&skind=O

8일 이스트시큐리티에 따르면 주로 세계 금융기구를 타깃으로 공격하던 FIN7 조직이 최근 공격목표를 소매 기업으로까지 확장했다고 밝혔다. 

해당 조직은 주로 PE 파일이 아닌 파일을 이용해 공격을 진행한다. FIN7 조직 안에 APT 조직의 공격은 주로 자바(JS)스크립트와 파워셸(powershell) 스크립트 이용이다. 이러한 방법은 일반적인 보안제품들을 우회할 수 있다. 

분석된 해당 APT 조직 개요를 살펴보면 △공격목표는 금융기구, 소매 기업 △공격목적은 기밀탈취, 금전적 이득 △공격방식은 피싱 메일 △사용하는 취약점은 없음 △통신방법은 https △영향받는 os는 윈도우다.

이들은 피싱 메일을 전송해 사용자로 하여금 매크로가 포함된 파일을 실행하도록 한다. 매크로가 실행된 후에는, 파일 중의 텍스트를 디코딩하는데, 디코딩 결과는 js스크립트 악성코드이며,

이 악성코드는 wscript 페이로드를 통해 실행된다. 또한 스케줄러를 통해 지속성을 높이며, 정해진 시점이 되면 C&C통신을 통해 명령을 받는다. 

특히 전체 공격과정 중에서 PE파일을 사용하지는 않아 어느 정도 백신을 우회할 수 있는 것으로 분석됐다. 악성코드는 nishang, empire 등 툴과 결합돼 로컬의 자격증명 탈취 등의 악성행위를 한다. 

공격자는 피싱 메일을 통해 공격을 시작한다. 이메일에 첨부된 파일은 악성 매크로가 포함돼 있다. FIN7이 초기에 사용했던 매크로 코드는 자동으로 스케줄러 등록기능이 포함돼 있다. 하지만 최근 FIN7이 사용한 악성 매크로에서는 스케쥴러 등록코드가 삭제됐으며, 하단에 js스크립트 중에서 스케쥴러 등록을 하도록 바꿨다. 

악성코드에는 악성코드의 버전 정보인 1.0.6과 ‘Hello fromQwazarius. One step ahead. Made in North Korea’ 문자열이 함께 포함돼 있다. 

이에 대해 이스트시큐리티는 해당 문자열만으로 공격자가 북한이라고 간주할 수 없으며, 공격자가 분석가를 속이려 일부러 넣어놓은 문자열 일 수도 있다고 풀이했다. 

악성코드가 최초에 실행되면, 자신을 디렉토리 하위에 복사해 놓는 동시에 스케줄러에 등록해 매 분당 1번씩 동작한다. 그리고 C&C에 접속해 명령을 받아온다. 이 task는 adobe를 위장하고 있다. 

이 밖에 Bateleur 악성코드는 RAT 악성코드의 기능을 포함하고 있으며, 사용자 정보 탈취, 원격에서 shell 명령 실행, 서버 업데이트, 화면캡쳐 등의 기능을 포함하고 있다. 

1.HTML 이란 무엇일까

하이퍼텍스트를 가장 중요한 특징으로하는 마크업이라는 형식을 가진 컴퓨터 프로그래밍 언어

Language=언어

Html은 웹 브라우저에 표시되는 웹 페이지를 만들어 달라는 언어

HTML 기본 문법

1. 태그

- 문서의 구조를 표현

  - 사람과 웹브라우저간의 약속

  - 보통 <tag>로 시작해서 </tag>로 끝나게 된다.

    안에 내용이 없는 경우에는 <tag />와 같은 사용도 가능하다.

  - 태그안에 속성을 사용해서 필요한 기능들을 사용할 수 있고 속성의 순서는 중요하지 않다.

  - 태그는 중첩을 이용해서 사용이 가능하고 중첩을 이용해 하나의 그룹으로 나눌 수 있다.

HTML에서 가장 중요한 특징 -엄청 쉬운 언어

<strong>자신의 힘</strong>

진하게 표시 한다

"자신의 힘" 이 진하게 표시된걸 확인할수있다

</1> 시작태그

</1> 닫히는 태그 

태그가 HTML 언어에서 가장 기본이 되는 문법이다

2.하이퍼 텍스트

a태그를 이용하여 링크를 걸도록 약속한다 

도널드 커누스에 링크를 걸고 싶으면 a태그를 이용하여 링크를 걸도록하는데

a태그만으로는 링크를 걸수 없기 때문에 속성이 필요하다

*기본 세트로 알아두면 좋음 

a href="url 주소"

a태그의 속성을 몇개 소개하자면

새로운 탭이 열리면서 페이지가 열리게 하고싶으면 target=”_blank” 속성과 

링크 위에 올려 제목이 나오게 하는 Title=”전설적인 프로그래머” 속성이 있다 . 

3.문서의 구조

  - HTML 문서의 구조에서 <head></head> 태그 안에는 문서의 정보를 적도록 약속 되있고

    <body></body> 태그 안에는 본문에 표시되는 내용을 적도록 약속 되있다.

    ( 약속일뿐 꼭 그렇게 적어야 되는건 아니다 )

<title>HTML - 수업소개</title>

주소 페이지 위에 탭의 제목으로 표시가 가능하다

<meta charset="utf-8">

화면에 글꼴이 깨짐을 방지하기 위해서

Title 과 meta 태그는 <head>태그 밑에 있고

본문인 태그(h1,br)<body>태그 밑으로 들어간다

4.DOCTYPE

  - 웹 브라우저에게 어떤 타입의 HTML을 따르고 있는 태그인지를 알려준다.

  - 현재 HTML5에서는 <!DOCTYPE html>로 단일화 되었다.

4.리스트 태그 

<li> 태그를 사용해서 리스트를 설정하는데 태그는 단독으로 사용이 불가능하다

순서가 있는 리스트로 표현 하고싶으면 <ol>

<ol>

           <li> </li>

           <li> </li>

           <li> </li>

</ol>

<ul>

           <li> </li>

           <li> </li>

           <li> </li>

</ul>

1.리눅스 설명 

-GUI 환경도 제공하나 보통 CLI 환경을 사용한다

-가볍고 처리속도가 빠르다

-서버에 최적화된 운영체제이다

-GPL 라인센스를 따르는 무료 공개 운영 체제이다 (정확한 표현은 GUN/Linux)

-다양한 배포판이 존재한다

-저사양 하드웨어에서도 원활하게 동작한다

-다양한 네트워크(웹,FTP) 서비스와 자체 보안 프로그램을 지원한다

2. 실습환경 

VMware Workstation

-Pro

1.기능이 많다

2.상용(30일 체험판)

우선 VM웨어를 이용하여 가상의 컴퓨터를 설정한다

NEXT 클릭

ISO 이미지 파일을 이용해서 설치를 한다

한번에 ISO 눌러서 설치를 하면 편하지만 구성환경을 보기위해 마지막 버튼을 클릭한다

리눅스에 CentOS 64비트 설치

경로를 설정하고 이름을 설정한다

프로세스 개수를 선택하는데 1개 만 해도 괜찮다

용량을 1024로 선택하고 

네트워크 환경은 우선 NAT로 설정 하기로한다

위에 화면대로 클릭한다 

분할 말고 통합된 파일로 설치한다

vmdk 파일 확인

여기서 필요없는 프린트 사운드카드 usb컨트롤러 지워주고 ISO 이미지에 삽입해준다

이제 설치해주면 끝이다 

-Player

1.비상업적 용도로만 사용할 경우 무료

CentOS 6.9

-DVD  -기본 제공되는 패키지가 포함된 버전

-Minimal -최소한의 패키지만 제공하는 버전

Xshell5

Telnet,SSH 접속용 클라이언트 프로그램

https://m.blog.naver.com/PostView.nhn?blogId=diceworld&logNo=220219382611&proxyReferer=https:%2F%2Fwww.google.co.kr%2F

블로그 참조