보안과 관련 전공을 하고 있는 학생으로써 공감합니다. 보안 관련 종사자 분들 중 에서도 탑 클래스가 우리나라에 몇 없을뿐더러 방대한 지식 요구와 높은 진입장벽으로 인해 개발자로 발을 돌리고 있는 상황입니다. 해킹은 정말 판타지가 아니라는걸 알리고 싶었습니다.. 보안 관련 종사하시는 분들 정말 존경합니다. 감사합니다.
"어떤곳이 해킹을 당했다"라고 해서 무조건 비난만은 할 수 없음 당신이 길을 걷다 누군가가 갑자기 뒤에서 때린다면 예방하거나 방어할 수 있다면 비난해도 됩니다. 취약점은 누구나 어느 상황에서나 생기기 마련 그걸 미리 방지하는건 당하고 나서임.. 모든 솔루션은 이미 당한걸 기반으로 구축됨
일단 알고 나면 해킹 방법은 간단하다라는 말에 동의합니다. 오래전 대학에서 학기 시작할때 교수님이 프로그램 주고 취약점을 찾아오라고 했었는데 결국 아무도 취약점을 못찾아 거의 완벽한 프로그램이라고 학생들은 다 말했지만 교수님이 바로 취약점 10개 정도 보여주고 저희 다 맨붕 아 왜 이걸 생각을 못했지...라고 결국에는 1학기 내내 그 프로그램의 취약점으로만 수업하고 논문 쓰고 했더랬죠 ㅋㅋ
취약점 중 또 하나인 XSS (크로스 사이트 스크립팅) 예시 alert("Hi!"); 라는 코드를 업로드 사이트에 넣으면 그곳에 방문 할 때 Hi! 라는 알림 창이 뜨게 됩니다. 다른 웹사이트로 이동 시키거나 아이피를 따서 메일을 보내는 등 이걸로 많은 걸 할 수 있습니다.
몇년째 탈옥을 사용하고 연구하다 보니 되게 와닿는 내용이네요. A11이하 기기에서는 부트로더 익스플로잇을 활용하는데 이게 생산 시부터 문제라 어떻게 막을 조치가 없다 들었습니다. 당장 그저께 나온 ios14도 부트로더 취약점이니 곧장 커널패치(탈옥)이 가능했다고 하더군요. A11 이하 기기에서의 해결 방안은 완전히 없는 것일까요?
질문이 있는데요 전에 삼성노트가 해킹되어 아이폰으로 교체했는데 또 해킹 당햇어요 네이버인증도중에 갑자기 전화연결음 띠띠띠 하더니 어떤여자가 다섯 여섯 일곱 여덜 이러더니 소리가 없어졋고요 공초화시킨뒤에 또 전에 삼성노트로 찍은 사진 세장 현재는 네이버 클라우드에 저장된사진이 제아이폰으로 와있더라구뇨??저는다운한적도없는데도요. 네이버비번도 전부 바꾸어논 상태인데 또털린거같은느낌이랄까요 만약에 제모든게 다털린상황이라면 제가네이버를 제폰으로 로그인한것만으로 네이버에찍힌 아이피 주소만으로도 현재폰 해킹가능한가요??정말 너무 희안한경험을하고있어서요 전에 노트8에서도 해킹당한상화에서 와이파이 꺼두고 비행기탑스모드한상태로 다른폰에 증거수집한 내용 동영상촬영하고있엇는데 기가가 남앗음에도 더이상 쵤영못한다는 경고문 나오더니 갤러리에 사진이 수백장 들어왓엇거든요 이건도대채 어떻게 해낸걸가요
혹시 해킹에 대한 오해를 좀 다뤄주실 수 있을까요. 요즘들어 '크롬 공룡게임 해킹'이라는 영상이 뜨고 있던데, 시청해보니 개발자 콘솔 열고ㅋㅋㅋㅋㅋ 명령어 입력으로 수치 좀 바꿔놓고ㅋㅋㅋㅋㅋ 해킹이라고 우기길래ㅋㅋㅋㅋㅋ 밥맛이 휭 달아나더군요. 물론 '당사자가 원치 않던 행위'로 보면 해킹이라고 볼 수 있겠지만, 그렇게 치면 여타 출시된 모든 게임들에서 개발자 콘솔 열고 명령어 처넣는 행위가 다 해킹으로 취급되는 거 아닙니까. 디버깅 및 치트로 넣어놓은 거를.
2001년도에 자주쓰인 해킹 방법 주석 이용한 방법도 있고 예전엔 주민번호를 이용한 비밀번호 찾기 같은 아이디 를 검색해서 찾아낸다음 해킹 가능한 사이트에서 비번을 탈취 다른 사이트와 동일 암호를 쓴다는 방법으로 해킹하는 방법 로그인 IP주소를 이용한 로그아웃 오류를 이용한 방법 예전에 해킹 자체가 불법인줄 몰랐었죠 제친구와 저는 이미 학교 서버 및 교육청도 해킹했었고 네이버도 해킹했었음 제 친구가 만든 스쿨이라는 해킹 프로그램은 당시 유명했었어요 심지어 주민등록번호 생성기라는 프로그램도 있어서 해킹이 더욱 쉬웠고 2002년도 인가? 열심히 해킹하다 네이버에서 관리자에게 매우 심각한 경고메일을 받고나서 절대 하지 않게 되었어요 당신은 여러번 해킹을 시도 했고 우리는 알고 있고 법적인 책임을 물을 수 있다 라는 내용이였던거 같아요 당시 되돌아보면 제 친구는 천재였던거 같아요 또 잼있는건 1학년 학교 성적도 조작 가능했는데 그건 무서워서 안했어요 (제 등수를 올려버리면 전체 학생들 등수가 다 바뀌어야 해서 눈치챌가능성이 높았어요)
인젝션의 원리는 간단합니다. select uid from usertable where uid='{$_GET[id]}' and upw='{$_GET[pw]}' 뭐 이런식으로 로그인을 처리하는 취약한 SQL 구문이 있다고 합시다. 여기서 id를 guest로 입력하고 비밀번호도 guest로 입력하면 select uid from usertable where uid='guest' and upw=''guest' 이런식으로 처리되면서 로그인이 되게 될것입니다. 그런데 만약 여기서 id에 admin' -- 이렇게 주입하게 된다면 SQL문장은 select uid from usertable where uid='admin' -- ' and upw=''' 이런식으로 비밀번호가 주석처리 됩니다. 원래는 id와 비밀번호를 조회해서 둘다 일치하는 계정이 존재할 경우 로그인에 성공하게 되는데 저런식으로 비밀번호를 주석처리해버리면 주석은 실행되지 않으므로 id만 조회해서 일치하는 id가 존재할경우 로그인에 성공하게 됩니다. 이렇게 비정상적인 인젝션으로 비밀번호를 모르는 상태에서도 로그인을 할 수 있게 되는것이죠. 그리고 아이디와 비번을 치는 공간이 데이터베이스와 독립되어있다는말이 정확히 무슨뜻인지는 모르겠으나 설명하자면 우리가 입력하는 페이지(Client)에서 아이디와 비밀번호를 받아서 서버로 전송합니다. 그러면 서버는 그 값을 받게되겠죠. 여기서 로그인, 회원가입 등 데이터베이스와 관련된 기능이면 SQL과 같은 데이터베이스 관리 쿼리문을 호출합니다. 이 과정에서 쿼리문에 우리가 입력한 id와 password가 쿼리문에 들어가겠죠. 우리는 비정상적인 값을 주입해서 쿼리문이 의도되지 않은 동작을 하게끔 만드는것이 SQL 인젝션입니다. 설명하고싶은건 많은데 제가 설명을 잘 못해서... 이해되실련지 모르겠네요. 조금이라도 도움되셨으면 합니다.
네트워크차단 & 블루투스 차단 상태에서 컴퓨터를 원격 조종할 방법은 절대로 없습니다. 휴대폰을 중계로 하여 해킹했다느니 할 수 도 있지만 컴퓨터의 블루투스를 꺼놨다면 그것도 불가능합니다. 따라서 가족중 누군가가 오토프로그램을 설치해서 적당한 조건에서 실행했다던지. 무선 키보드 마우스 (블루투스 아닌 동글형)과 카메라를 활용한 원격조종등의 방법으로 친 장난일 확률이 99.99%라고 생각합니다. 0.01%는 제가 뉴스에서 보지 못한 (여러가지 테스트 해보고싶은) 중요한 정보가 있을 수 있어서 여지를 남겨둔 것 입니다.
개발자 라라 찾아보니 이번 년도 초부터 그래왔다는데 컴퓨터를 초기화했는데도 그런 현상이 전혀 해결되지 않았고 컴퓨터를 수리기사한테 보냈음에도 실시간으로 욕설 등을 날란다던가 컴퓨터가 없어졌으니 그 주변에 있던 태블릿 PC를 해킹한다던가 웹캠을 멋대로 실행시킨다던가 바꾼 도어락의 비밀번호를 30분 내에 알아내서 그걸 말한다던가 하는 내용이 있어서 왠지 가족이나 지인이 그랬을거라기에는 걸리는 점이 있어서 의문점이 점점 많아져 그 0.01%가 궁금해지게 되더라고요...
주거침입/카메라설치/무선키보드마우스 등이 아니면 네트워크 차단상태에서 원격은 불가능합니다. 0.01퍼센트도 후하게 쳐준거에요. 만약 이외의 방법으로 그게 가능하고, 방법을 알고있다면 엄청난 돈을 벌었을 겁니다. 개인적인 원한이라고 하더라도 방식 자체가 치졸합니다. 원한이 엄청나다고 가정해도 차라리 해당 해킹 방법을 판매해서 번 돈으로 청부를 하는게 훨씬 낫습니다. 가정해보자면 가족의 장난일 확률이 반이고, 원한을 가진 이웃의 소행일 확률이 반 입니다.(주거침입및 장비설치)
그렇죠 특수한 용도로 사용되는 문자들은 개발자들이 미리 알고 사용하고 있기 때문에 제한을 하는 거고요. 요즘은 애초에 사용자의 입력결과와 개발자의 코딩을 엄격히 구분할 수 있도록 발전했기 때문에 패스워드에 특수문자들을 자유롭게 사용할 수 있는 거고, 더 많은 조합으로 비밀번호 예측이 힘들어 보안에 더 도움이 되니까 특수문자를 오히려 장려하는 거에요
이런 대단한 최상의 컴퓨터 직종을 한국에선 우습게 보거나 나쁘게 본다 요즘에는 괜찮나 모르겠지만 몇년전에 아는 애가 지랑 싸운 친구얘기 들먹이면서 한탄하는데 친구 어머니 직업이 막 해커라고 하면서 나쁘다는듯이 얘기 하는 거 보고 웃겼음 ㅋㅋㅋ 그 때 얼떨결에 난 그 친구 어머니 대단하네..라고 했고 ㅋㅋㅋㅋㅋ
혀어엉..♥ 내 취약점이 이상해ㅠ
박제 축하합니다
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
박제뭔뎈ㅋㅋㅋㅋㅋㅋ
???
ㅋㅋㅋㅋㅋㅋㅋㅋㅋ
와... 이런 댓글은...........
보안과 관련 전공을 하고 있는 학생으로써 공감합니다.
보안 관련 종사자 분들 중 에서도 탑 클래스가 우리나라에 몇 없을뿐더러 방대한 지식 요구와 높은 진입장벽으로 인해 개발자로 발을 돌리고 있는 상황입니다.
해킹은 정말 판타지가 아니라는걸 알리고 싶었습니다..
보안 관련 종사하시는 분들 정말 존경합니다.
감사합니다.
학교 어디에요?
@@day2895 진짜 천재파라서 애플 창업할꺼 아니면 IT는 학벌이 맞습미다...
저 그쪽 분야를 원하는 고등학생입니다 혹시 소통하면서 질문 드릴수 있을까요? 괜찮으시다면 답 주시면 감사하겠습니다
@@구름냥 갠적으로 생각하기에는 학벌보다는 실력이긴 한데 학벌이 좋으면 실력이 좋은 경우가 많죠 ㅋㅋ환경이 중요한거 같아요
설명을 진짜 쉽게 잘하셔서 주변 친구들한테 소개 해주고 싶은데 소개 할 수가 없네..
4:28 흔한 웹페이지는 아닌 것 같은데요? ㅋㅋ
2:01 형 주소창이 이상해..
ㅋㅋㅋㅋㅋㅋㅋㅋ
이걸보네ㅋㅋㅋㅋㅋ
ㅋㅋㅋㅋ 나도봄
정상입니다(?)
ㅋㅋㅋㅋ
편집이 점점 퀄리티 개쌉상타치돼가네
약간 에스오디 비슷하게 가는거같음 나만 그렇게 느끼나 ㄹㅇㅆㅅㅌㅊ
펀집보고 두발 뺐다..
전 귀여워요
@@heart_philia 머머리는 못하는일
@@soonmoo 너는....진짜;;
5:55 흐응...❤ 주입당해버렷...
어..네? 다시말씀하세여
"어떤곳이 해킹을 당했다"라고 해서 무조건 비난만은 할 수 없음
당신이 길을 걷다 누군가가 갑자기 뒤에서 때린다면 예방하거나 방어할 수 있다면 비난해도 됩니다.
취약점은 누구나 어느 상황에서나 생기기 마련
그걸 미리 방지하는건 당하고 나서임.. 모든 솔루션은 이미 당한걸 기반으로 구축됨
일단 알고 나면 해킹 방법은 간단하다라는 말에 동의합니다. 오래전 대학에서 학기 시작할때 교수님이 프로그램 주고 취약점을 찾아오라고 했었는데 결국 아무도 취약점을 못찾아 거의 완벽한 프로그램이라고 학생들은 다 말했지만 교수님이 바로 취약점 10개 정도 보여주고 저희 다 맨붕 아 왜 이걸 생각을 못했지...라고 결국에는 1학기 내내 그 프로그램의 취약점으로만 수업하고 논문 쓰고 했더랬죠 ㅋㅋ
2:03 위쪽 주소가?
tepk2924 4:32에도 있음 ㅋㅋㅋㅋㅋ
ㅎㅁㅌ.라라
히토미...
아 늦었다
hitomiㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
진짜 미디어 영향으로 컴퓨터 좀 만지면 해킹 할줄 알아야 하는거 아냐? 하는 애들한테 보여주고 싶네요 해킹이야말로 노가다와 깊은 분석의 결과물인데
과거 해커소설을 썼던 사람으로
배울 게 많네요.
잘 들었습니다.
보통 해커소설이라고 하나?
젤 좋아하는 it 슨생님
거니와 라라 :)
두분 편집 스타일이 군더더기 없어서 너무 좋음! -그러고보니 서로 비슷하네염? 말투는 다르지만 ㅋㄷㅋㄷ-
ㅋㅋㅋㅋ
@@칠백오십만원 여기서보 보넹! 반갑반갑 :)
덧붙여 해커가 되는것은 매우 어렵습니다. 학원에서 해커과정 함부러 듣지 마세요. 시간만 날릴 수 있습니다. 학원에서 몇개월 깔짝해서 입문할 수 있는 레벨이 아닙니다. 고등3학년간 혹은 대학4년간 IT에 계속 관심을 가져야 가능하죠
헐 우리형 ㅜㅠㅠㅠ 너무 조차나... 보안 공부하면서 형 영상 보는데, 형은 보안 영상은 더 안올려주려나 했거든..! ㅠ,ㅠ 그런데 이렇게 뙇!! 쉽게 올려줘서 고마워 엉엉.. ㅠㅠ
우와~~ 이렇게 이하가 잘되게 설명해주시다니. 프로그램 한가지먀이라도 문법을 조금만 알면 이해가되게끔 잘 설명해주시네요. 👍 바로 구독함.
SQL 인젝션 저것때문에 자바라면 PreparedStatement 를 사용한 바인딩을.....
정말 설명 쉽게 해주셧네요
취약점 중 또 하나인 XSS (크로스 사이트 스크립팅) 예시
alert("Hi!");
라는 코드를 업로드 사이트에 넣으면 그곳에 방문 할 때 Hi! 라는 알림 창이 뜨게 됩니다.
다른 웹사이트로 이동 시키거나 아이피를 따서 메일을 보내는 등 이걸로 많은 걸 할 수 있습니다.
오 이번엔 빨리들어왔네요 ㅋㅋ 재밌게 보겠습니당
와 진짜 개 쌉재밌다 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 여기저기 추천 타고와서 CPU VS GPU보고 ㅋㅋㅋㅋㅋㅋ 이거 또 추천떠서 봤는데 개재밌네요 구독하고갑니다 ㅠㅠ
형 편집실력 너무 좋아진거 아니야? 미춋다....
4:25 히토미가 흔한 웹페이지구나...
중간중간에 이상한(?) 구문이 있지만
정말 잘 설명하셨다고 생각합니다 :D
2:03 노예계약에 동의합니다 뭐죠?ㅋㅋㅋㅋㅋㅋㅋ
이렇게 깔끔한 pt는 진짜 오랜만에 보네요
어떤 프로그램으로 만들었나요....???
컴맹인 내가 처음으로 해킹의 원리를 간단하게나마 이해를 했다! 이건 기적이야!
제 취약점을 알게 됬네요 이 영상은 자장가로 쓰기에 적절........
재밌게 보고갑니다.좋은영상감사합니다.
언제나 유익한 정보 잘 보고 갑니다.
영상을 보면서 질문이 생겼는데, 주석을 코드 내에 넣지 않고 따로 파일같은거로 만들면 안되나요?
그러면 영상에서 말씀하신 취약점 해킹이 불가능할 것 같다는 생각이 들기 때문입니다. 좋은 영상 감사합니다. 많이 배웠습니다.
주석을쓰는 이유자체가 길고긴코드에서 나뿐아니라 다른 후임자가 인수인계와함께 유지보수를 하기위한 설명서이기때문에 따로적어주더라도 주석기호가 가지는 특성이기때문에 백엔드의 취약점을 프론트단에서 애초에 막아주고 또발생되는 취약점을 백엔드에서 막아주는 유동성이필요한것같다고 생각합니다 저도 초짜라서...많이 배웠습니당
이형 편집좋고 개그코드 맞아서 구독 "박는다"
디미고 학과 선택 고민하고 있었는데 덕분에 잘 결정했습니다!
단 몇번만의 타자로 해킹에 성공하는 '그'영화 걸캅스......정말 대단합니다
추가적인 데이터베이스로 필터 역할을 할수 있는 완충 장치를 많이 더 정교하게 만들수록 뚫기 힘들어지는게 맞았나요?
2:10 아사나기 미쳤 ㅋㅋㅋㅋㅋ
영상 퀄이 좋네요 재밌고 유익하고
혹시 해커의 목적은 뭔가요? 시스템을 뚫어서 이득을 취하기 위한건가요? 항상 악의 축인지 그런것도 알고싶어요. 세계 해커대회도 있다는데 그런건 뭔지 알고싶어요
형 목소리가 너무 간드러져 녹아버릴 거 같아
여러분 미래에 해커가 될 것이라면 이 기초지식으로 탄탄해지세요
덕분에 좋은 사이트.. 아니 좋은 정보 얻고 갑니다^^
궁금한게 있는데 라라님은 인공지능을 반대하는 입장인가요?
개발하면 안된다는 입장인가요?
유익한 영상 고마워 형 하나도 안빼먹고 다 보고이따!
언제나처럼 바람직한 컨텐츠네요. 감사합니다!
몇년째 탈옥을 사용하고 연구하다 보니 되게 와닿는 내용이네요.
A11이하 기기에서는 부트로더 익스플로잇을 활용하는데 이게 생산 시부터 문제라 어떻게 막을 조치가 없다 들었습니다.
당장 그저께 나온 ios14도 부트로더 취약점이니 곧장 커널패치(탈옥)이 가능했다고 하더군요.
A11 이하 기기에서의 해결 방안은 완전히 없는 것일까요?
4:53 헉... 어떻게 그런 나쁜말을....
ㅁㄴㅇㄹ
이걸 왜 못막냐 하시는 분들은 집에 모기 들어오지 않게 하는 것부터 시도해 보시면 됩니다.
와 이 분 채널 영상 보니까 가끔 국어 비문학 배경지식으로 좋네 ㅋㅋㅋㅋ
작년 수능 CPU, GPU에다가 주간지 지문에서 딱 웹페이지, SQL 개념이랑 이 방식으로 해킹하는거 그대로 나옴 ㅋㅋ
질문이 있는데요 전에 삼성노트가 해킹되어 아이폰으로 교체했는데 또 해킹 당햇어요 네이버인증도중에 갑자기 전화연결음 띠띠띠 하더니 어떤여자가 다섯 여섯 일곱 여덜 이러더니 소리가 없어졋고요 공초화시킨뒤에 또 전에 삼성노트로 찍은 사진 세장 현재는 네이버 클라우드에 저장된사진이 제아이폰으로 와있더라구뇨??저는다운한적도없는데도요. 네이버비번도 전부 바꾸어논 상태인데 또털린거같은느낌이랄까요 만약에 제모든게 다털린상황이라면 제가네이버를 제폰으로 로그인한것만으로 네이버에찍힌 아이피 주소만으로도 현재폰 해킹가능한가요??정말 너무 희안한경험을하고있어서요 전에 노트8에서도 해킹당한상화에서 와이파이 꺼두고 비행기탑스모드한상태로 다른폰에 증거수집한 내용 동영상촬영하고있엇는데 기가가 남앗음에도 더이상 쵤영못한다는 경고문 나오더니 갤러리에 사진이 수백장 들어왓엇거든요 이건도대채 어떻게 해낸걸가요
6:46 점점 잘하네 이것도 재능이다
select * from LaLa where id='hitomi' and password = 'la';
씨발ㅋㅋㅋ
@happy happy 아이디 히토미
비번 라
Hitomi.la
야동 주소
@n뉴비 유니콘같은 우회프로그램써야함
@happy happy 테이블명 lala에서 id가 hitomi ,password가 la인것을 가져오는것이라고 하는것같은데 아님?
너무재밌어요
?
레스터 그는 대체...
안녕하세요.
하나 궁금해서요.
ipfs가 분산형저장장치인가요,,
해킹한수 없다고 하던데요.
재미있게 잘 봤습니다.
5:56 아니 내용은 진지한데 자막잌ㅋㅋㅋㅋ
혹시 해킹에 대한 오해를 좀 다뤄주실 수 있을까요. 요즘들어 '크롬 공룡게임 해킹'이라는 영상이 뜨고 있던데, 시청해보니 개발자 콘솔 열고ㅋㅋㅋㅋㅋ 명령어 입력으로 수치 좀 바꿔놓고ㅋㅋㅋㅋㅋ 해킹이라고 우기길래ㅋㅋㅋㅋㅋ 밥맛이 휭 달아나더군요. 물론 '당사자가 원치 않던 행위'로 보면 해킹이라고 볼 수 있겠지만, 그렇게 치면 여타 출시된 모든 게임들에서 개발자 콘솔 열고 명령어 처넣는 행위가 다 해킹으로 취급되는 거 아닙니까. 디버깅 및 치트로 넣어놓은 거를.
사실상 지금 해킹의 의미가 많이 변질되어서 그런건 무의미한 논쟁이 될 것 같네요
2001년도에 자주쓰인 해킹 방법
주석 이용한 방법도 있고
예전엔 주민번호를 이용한 비밀번호 찾기
같은 아이디 를 검색해서 찾아낸다음 해킹 가능한 사이트에서 비번을 탈취 다른 사이트와 동일 암호를 쓴다는 방법으로 해킹하는 방법
로그인 IP주소를 이용한 로그아웃 오류를 이용한 방법
예전에 해킹 자체가 불법인줄 몰랐었죠
제친구와 저는 이미 학교 서버 및 교육청도 해킹했었고 네이버도 해킹했었음
제 친구가 만든 스쿨이라는 해킹 프로그램은 당시 유명했었어요
심지어 주민등록번호 생성기라는 프로그램도 있어서 해킹이 더욱 쉬웠고
2002년도 인가? 열심히 해킹하다 네이버에서 관리자에게 매우 심각한 경고메일을 받고나서 절대 하지 않게 되었어요
당신은 여러번 해킹을 시도 했고 우리는 알고 있고 법적인 책임을 물을 수 있다 라는 내용이였던거 같아요
당시 되돌아보면 제 친구는 천재였던거 같아요
또 잼있는건 1학년 학교 성적도 조작 가능했는데 그건 무서워서 안했어요 (제 등수를 올려버리면 전체 학생들 등수가 다 바뀌어야 해서 눈치챌가능성이 높았어요)
아 그리고 세계최초의 좀비PC는 사실 2002년도 한국에 있는 고등학교에서 처음 만들어졌습니다. (스쿨이라는 프로그램에 의해)
주석이 이렇게 적용이 가능한 거였구나... SQL도 잠깐 배웠었는데 이게 먹히리라곤 생각못했네. 하지만 쉽게 방어할 수 있는 수준이라 확실히 뚫리는게 더 보기 힘들겠네요.
형근데 형 채널명이
개발자 라라인이유가
hitomi.la여서 la인거야?
설명 너무 좋아요!!
패치가 저거였어요? 저번에 패치깔았다가 또 구글 플레이 서비스 오류나가지고 뭘 하질 못해서 다운 안받고 있었는데 다운은 받아야겠네...ㅠㅠ 터지지만 마라ㅠㅠㅠㅠ
해킹은 목소리해킹도 있음.
나아가 인간관계,전화,문자까지 집착하는거죠
제가이런 해킹에관한분야는 정말 잘모르고 방금 이영상을 처음봣는데 lala95# 이렇게아이디에다가 치면 비밀번호부분이 주석 처리되어서 비밀번호가 뭐들간에 상관이 없어지는거라고 했잖아요 그래서 존재유무를따지는 명령어로바껴서 로그인이 됐다는거고요. 그런데
(저진짜 아무것도모르는사람이어서 욕하지말아주세요ㅠㅠ) 애초에 아이디랑비밀번호를 치는공간이었으니까 화면과 연결된 페이지는 에초에 회원존재여부확인하는 데이터베이스랑 아에따로독립되어있지않나요? 그리고 아이디에 #lalalalalalalala 이런식으로치면 아이디랑비밀번호가 주석처리되나요? 주석처리되면 로그인이되나요? 비빌번호가 주석처리되면 왜로그인이되는건가요? 대답해주시면 감사하겠습니다
인젝션의 원리는 간단합니다. select uid from usertable where uid='{$_GET[id]}' and upw='{$_GET[pw]}' 뭐 이런식으로 로그인을 처리하는 취약한 SQL 구문이 있다고 합시다. 여기서 id를 guest로 입력하고 비밀번호도 guest로 입력하면 select uid from usertable where uid='guest' and upw=''guest' 이런식으로 처리되면서 로그인이 되게 될것입니다. 그런데 만약 여기서 id에 admin' -- 이렇게 주입하게 된다면 SQL문장은
select uid from usertable where uid='admin' -- ' and upw=''' 이런식으로 비밀번호가 주석처리 됩니다. 원래는 id와 비밀번호를 조회해서 둘다 일치하는 계정이 존재할 경우 로그인에 성공하게 되는데 저런식으로 비밀번호를 주석처리해버리면 주석은 실행되지 않으므로 id만 조회해서 일치하는 id가 존재할경우 로그인에 성공하게 됩니다. 이렇게 비정상적인 인젝션으로 비밀번호를 모르는 상태에서도 로그인을 할 수 있게 되는것이죠.
그리고 아이디와 비번을 치는 공간이 데이터베이스와 독립되어있다는말이 정확히 무슨뜻인지는 모르겠으나 설명하자면 우리가 입력하는 페이지(Client)에서 아이디와 비밀번호를 받아서 서버로 전송합니다. 그러면 서버는 그 값을 받게되겠죠. 여기서 로그인, 회원가입 등 데이터베이스와 관련된 기능이면 SQL과 같은 데이터베이스 관리 쿼리문을 호출합니다. 이 과정에서 쿼리문에 우리가 입력한 id와 password가 쿼리문에 들어가겠죠. 우리는 비정상적인 값을 주입해서 쿼리문이 의도되지 않은 동작을 하게끔 만드는것이 SQL 인젝션입니다.
설명하고싶은건 많은데 제가 설명을 잘 못해서... 이해되실련지 모르겠네요. 조금이라도 도움되셨으면 합니다.
원리가 그렇다는거지 실제와는 차이가 있습니다.
주석에 대해서 궁금하시다면 제 프로그래밍 강의를 들으시면 될 것 같아요
초급 개발자로서 많이 배웁니다!! 감사합니다!!
괜히 보안이 컴공 끝판왕이 아니죠...근데 저랑 같은 95년생이시네요?
예전 영화 에서 모니터를 부시니 모든 컴퓨터 시스템이 다운 되는 지식 수준만 알고 있는 나를 조금 알게해주심
땡큐~
나름 쉽게 설명하려고 노력한게 보이긴 하는데 비전공자의 입장에서 볼때 그래도 어려운게 많네요 전문용어를 조금만 줄여도 쉬워질것 같은데....
혹시 쓰시는 키보드 이름이 뭔가요?
해킹은 아무리 공부해도 끝이없고 새로운 정보들이 쏟아져 나온다...
저 예전에 삼성S6 쓸때 갑자기 폰이 배터리도 많이있는데 꺼져서 다시 켜지지도않고 결국
AS받으려고 같는데 복구불가래서 폰 새로샀음
바이러스 인가요? 너무 어이없었음 ㅋㅋㅋ
와...코딩 공부하는 학생으로서 ;//는 정말 생각도 못한 코드네요... 방어코드를 넣어야하나..
웹으로는 sql 인젝션 하기가 힘들어요 다 막혀 있거든요
옛날 진짜 웹초창기때 초짜 개인들이 만든 웹이나 뚫릴수도 있지만(구시대 웹이라)
지금은 안된다고 보시면 됩니다
게다가 서버 뚫기는 더더욱 힘듭니다 왜 기업들이 수천 수억짜리 방화벽 사서 쓰는데요 ㅋ
프로그래머가 되고싶은데 뭘 공부 해야될지를 모르겠어요ㅠㅠ 알려주세요
중고등학생이고 진로를 이쪽으로 희망한다면 대학부터.
성인이시고 취미 혹은 업무상 배워야 한다면 Javascript 나 C# 혹은 Python 부터 시작하시면 됩니다.
@@devlala 감사합니다
잘 보고 구독 박고 갑니다 :)
가장 좋은 보안은 확실히. 그곳에 중요한 데이터가 있다는것 자체를 모르게하는 것인듯..
사방에서 작정하고 뚫는데 어떻게 다 막아..
형은 역시 해커 같은 사람이야
기초중에 기초..한..20년 전쯤에는 sql injection으로 안뚫리는 사이트 찾기가 더 어려웠었음.ㅋ 요즘은 프레임웍에서 자체 방어 코드를 갖고있어서 신경안쓰고 개발해도 저런걸로는 택도없음.ㅋ
헐대박정말 훌륭해요
형 갑자기 생각난건데
내가 이얘기를 왜하냐면 트위치 방송을보다가
누구였지? 어떤 트수분이 저한테 그러던데
컨텐츠 아이디어 괜찮은거랑 썸네일이 어케보면 영상클릭을 좌우하는데 그거 아이디어거든요?
그분은 편집은 괜찮은데 썸넬이랑 아이디어가 너무 그거라는데 소수만 떠들 수 있는거
그래서,
월척이다. 그 트수 나다!
4:29 혀어어엉...? 웹사이트 이름이 매우 익숙한데? 어디선가 많이 본 것 같은....?
혹시 몇 일 전에 일어난 중계동 가정집 해킹 사건이 어떻게 일어날 수 있는지 같은 걸 다뤄주실 수 있으신가요?
99.99% 확률로 가족 혹은 이웃의 장난이라고 생각합니다. (고스트마우스 혹은 무선 키보드마우스 등 활용)
컨텐츠로 만들기엔 제가 해당 사건에 대한 정보가 너무 없어서 뇌피셜일 수 밖에 없으니 못할 것 같습니다.
네트워크차단 & 블루투스 차단 상태에서 컴퓨터를 원격 조종할 방법은 절대로 없습니다.
휴대폰을 중계로 하여 해킹했다느니 할 수 도 있지만 컴퓨터의 블루투스를 꺼놨다면 그것도 불가능합니다.
따라서 가족중 누군가가 오토프로그램을 설치해서 적당한 조건에서 실행했다던지.
무선 키보드 마우스 (블루투스 아닌 동글형)과 카메라를 활용한 원격조종등의 방법으로 친 장난일 확률이 99.99%라고 생각합니다.
0.01%는 제가 뉴스에서 보지 못한 (여러가지 테스트 해보고싶은) 중요한 정보가 있을 수 있어서 여지를 남겨둔 것 입니다.
만에하나 제가 놓친 부분이 있어 네트워크와 블루투스가 차단된 상태에서 어떤 모종의 방법으로 원격 해킹이 가능하다고 하더라도
그런 신급 해킹기술을 일반 가정집에 개인정보를 그림판에 써서 겁주는 형식으로 해킹을 하는건 병신짓입니다.
개발자 라라 찾아보니 이번 년도 초부터 그래왔다는데 컴퓨터를 초기화했는데도 그런 현상이 전혀 해결되지 않았고 컴퓨터를 수리기사한테 보냈음에도 실시간으로 욕설 등을 날란다던가 컴퓨터가 없어졌으니 그 주변에 있던 태블릿 PC를 해킹한다던가 웹캠을 멋대로 실행시킨다던가 바꾼 도어락의 비밀번호를 30분 내에 알아내서 그걸 말한다던가 하는 내용이 있어서 왠지 가족이나 지인이 그랬을거라기에는 걸리는 점이 있어서 의문점이 점점 많아져 그 0.01%가 궁금해지게 되더라고요...
주거침입/카메라설치/무선키보드마우스 등이 아니면 네트워크 차단상태에서 원격은 불가능합니다.
0.01퍼센트도 후하게 쳐준거에요.
만약 이외의 방법으로 그게 가능하고, 방법을 알고있다면 엄청난 돈을 벌었을 겁니다.
개인적인 원한이라고 하더라도 방식 자체가 치졸합니다.
원한이 엄청나다고 가정해도 차라리 해당 해킹 방법을 판매해서 번 돈으로 청부를 하는게 훨씬 낫습니다.
가정해보자면 가족의 장난일 확률이 반이고, 원한을 가진 이웃의 소행일 확률이 반 입니다.(주거침입및 장비설치)
8:16 몇몇 영화가 생각나는구만 ㅋㅋ
ㅋㅋㅋㅋㅋㅋㅋ
8:28 "쌉소리고요" 개찰지다 ㅋㅋㅋㅋㅋㅋㅋ
쏴아압소리고요~
4:30 여기 주소기 히토미인데 취향반영인가요?
와 이걸 이렇게 컴터 밥 이었을 때 배운 주석이.. 역시
창의력 이 좋아야됨
세로로 보는 사람들한텐 그림이 너무 작아용 조금만 크게 해주면 좋을거같아요
형 설명 완전 섹시해
아 중간중간 개그코드가 너무 좋아 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
2:46 이걸 고치려면 아이디와 비밀번호를 뒤바꾸면 됨니다 (참 쉽죠?...)
잘 볼게요
아주 예에전엔 버퍼 오버플로로 간단하게 제어 가능한 취약한 프로그램이 많았는데 지금은 그래도 버퍼 오버플로는 잘 안 걸리더라구요 ㅋㅋㅋㅋ
게임에서 최적화는 어떤 원리로 되는지 알려주실수 있나요
국방부 해킹 1단계 : 인트라 넷에 접속하기 위해 입대한다
2단계:포기한다
아 그래서 일부 웹사이트에선 아이디/패스워드의 특수문자의 사용을 제한하는건가?
그렇죠 특수한 용도로 사용되는 문자들은 개발자들이 미리 알고 사용하고 있기 때문에 제한을 하는 거고요. 요즘은 애초에 사용자의 입력결과와 개발자의 코딩을 엄격히 구분할 수 있도록 발전했기 때문에 패스워드에 특수문자들을 자유롭게 사용할 수 있는 거고, 더 많은 조합으로 비밀번호 예측이 힘들어 보안에 더 도움이 되니까 특수문자를 오히려 장려하는 거에요
와 거기를 특 치게 만드는 사고의 연장선이네요 ㅋㅋ
하나를 배우면 열을 아시는분..
@A.I 하 꼭 이런 새끼가 분위기 흐리지
@@tipy7155 ㅋㅋㅋㅋㅋ 개웃겨요
2:40 실제 SQL-> SELECT * FROM Member WHERE id = 'LaLa95' AND pass = 'abcd';
근데 요새는 SELECT FROM 같은 표준 SQL을 안쓰는 DB도 많아서... 저 Exists 문법을 쓰는 DB도 진짜 있는건줄 알았음
영상에 나온것 처럼 쓰진 않아도 비슷한게 있긴 한거같네요
SQL종류가 많지용
select from 문만 보다가 exist in문은 처음이네요
이런 대단한 최상의 컴퓨터 직종을 한국에선 우습게 보거나 나쁘게 본다
요즘에는 괜찮나 모르겠지만
몇년전에 아는 애가 지랑 싸운 친구얘기 들먹이면서 한탄하는데 친구 어머니 직업이 막 해커라고 하면서 나쁘다는듯이 얘기 하는 거 보고
웃겼음 ㅋㅋㅋ
그 때 얼떨결에 난 그 친구 어머니 대단하네..라고 했고 ㅋㅋㅋㅋㅋ
5:55 그 주입이 아닌대요
라라형 비밀폴더 숨기려고 컴퓨터 공부하다가 개발자가 된거 아님?
7:42 Hollywood
그러니까 보안회사는 역으로 해커를 고용하면 되겠네요?
정보를 털어서 얻을 이익보다 일시켜서 얻을 이익을 더 크게주면 되는거잖아요