회사에서 딥웹 내 노출된 본인의 정보를 추출해주는 "IntelligenceX" 라는 서비스를 알게되었다.해당 서비스는 찾으려는 이름, 이메일, 전화번호 등을 이용하여 딥웹 내 업로드되어있거나 노출된 정보를 찾아주는 서비스로 OSINT 정보를 긁어와 보여준다.서비스 자체가 궁금해서 본인이 자주 사용하고 있었고, 중요 서비스들에서 사용하는 이메일 정보로 검색해보았더니 굉장히 크리티컬 한(...) 정보가 노출된 것을 확인하였다.아무래도 파일을 잘못 받거나 해서 감염된 PC로 인하여 파일들이 노출된 것으로 보이는데, 해당 파일 내엔 본인 PC의 데스크탑 환경의 스크린샷(...) 이 포함된 유출된 Steam 토큰, Discord 토큰 등을 확인할 수 있었다.해당 메일 내용을 보면 알겠지만, 노출된 본인 이메일 정..

취약점 체크리스트들을 확인하다보면 '불충분한 HTTPS 알고리즘 이용' 혹은 '취약한 암호화 알고리즘 사용' 등의 이름을 사용하는 취약점 항목이 존재한다.해당 항목은 대상 웹 서버가 암호화 알고리즘이 취약한 경우 작성되는 취약점으로 통신구간에서 암호화 알고리즘이 적용된다 할지라도 임의 복호화가 가능하여 통신 내역의 감청이 가능하다는 내용이다.본 취약점 확인을 위해 사용되는 툴은 크게 두 가지로 nmap 과 sslscan 이 있다.해당 항목에 대한 취약점 확인 코드와 증적은 다음과 같다.- Nmapnmap --script ssl-enum-ciphers [DomainName]해당 코드 실행 이후 확인되는 값에서 취약한 항목은 A (Alert)가 아닌 C (Critical) 혹은 F 로 표시된다.- SSLSc..