본문 바로가기

Security41

41. 클라우드 보안 기초 (2) : 특징, 관련 법령 기존 온프레미스 환경 대비 차이점 및 비교  온프레미스(On-Premise) 환경 온프레미스는 기업이나 조직이 자체적으로 IT 인프라를 구축하고 운영하는 방식이다. 서버, 네트워크 장비, 스토리지 등 모든 장비를 소유하고, 자체 데이터센터에서 관리한다. 특징 완전한 제어권 : 모든 하드웨어와 소프트웨어가 기업 내부에 있기 때문에 보안과 데이터 관리에 대한 통제력이 높다. 높은 초기 비용 : 서버와 장비 구매, 데이터센터 구축, 유지보수 비용이 높다. 유지보수 부담 : IT 전문 인력을 통해 하드웨어 유지보수, 소프트웨어 업데이트, 백업 등을 수행해야 한다. 확장성의 제한 : 자원이 고정되어 있어 갑작스러운 요구 증가에 대응하기 어렵다. //41주차 메모장 클라우드 환경 클라우드는 IT 자원을 필요에.. 2025. 2. 11.
40. 클라우드 보안 기초 (1) : 개념 및 입문, 종류 클라우드의 경우 불과 3, 4년 전만 하더라도 그렇게까지 각광을 받지 않았다.하지만 갑작스럽게 클라우드 관련 직무, 회사, 자격증 시험이 많이 활성화가 되었고,  신설 회사들은 클라우드 쪽으로 환경들을 대부분 구축을 하고 있는 상황이기에 우리가 확실하게 짚고 넘어가야할 영역이라고 볼 수 있다.     클라우드 컴퓨팅  배경 초기에는 기업이나 개인이 데이터를 저장하고 프로그램을 실행하기 위해 온프레미스 서버를 구축해야 했다. 즉, 회사에서 직원들의 이메일을 관리하거나 파일을 저장하려면 큰 서버를 구매하고, 전문 IT 직원이 이를 관리해야한다.  하지만 해당 방식은 아래와 같은 여러 문제가 존재한다. 비용 부담 : 서버 구매, 전기료, IT 인력 고용 등으로 초기 비용이 매우 높다. 유연성 부족 : 더 많은.. 2025. 1. 26.
39. 웹 모의해킹 실습 (6) : XSS(Stored), XSS(Reflected) XSS(Stored, 저장형 XSS)  개념 공격자가 악성 스크립트를 웹 애플리케이션의 서버에 영구적으로 저장하고, 이를 다른 사용자가 웹 페이지를 방문할 때마다 실행되도록 하는 일반적인 형태의 XSS 유형이다. 주로 게시판, 댓글, 프로필 정보 등 사용자 생성 콘텐츠를 저장하는 기능에서 발생한다. 즉, 악성 스크립트가 서버에 저장된 후, 해당 데이터를 불러오는 모든 사용자의 브라우저에서 악성 스크립트가 실행되는 지속적인 공격 유형이다.  열람하는 사용자들은 쿠키를 탈취당하거나 다른 사이트로 리디렉션 되는 등의 공격을 받는다. 실습(Low Level)Stored XSS 실습 페이지의 구성을 살펴보면, 방명록에 이름과 메시지를 남기는 형태이다. 만약 이 메시지를 남길 때, HTML 검증이 이루어지지 않는다.. 2024. 12. 26.
38. 웹 모의해킹 실습 (5) : Weak Session IDs, XSS(DOM) Weak Session IDs  개념 사용자의 세션을 식별하는 데 사용되는 세션 ID가 예측 가능하거나, 세션 만료 기간이 공격하기 충분한 시간으로 설정되어 있어 안전하지 않은 경우,  공격자가 이를 탈취하여 인증된 사용자의 세션을 가로채서 해당 권한을 통해 악용하는 방식으로 공격이 이루어진다. 세션 ID란 서버가 사용자를 식별하고 인증 상태를 유지하기 위해 사용하는 고유한 값이다. 사용자가 로그인하면 서버는 세션 ID를 생성하고 이를 사용자의 브라우저(쿠키나 URL 파라미터)에 저장한다.  서버는 이후 요청에서 이 세션 ID를 확인하여 사용자를 식별하고 인증하는 형태이다. 실습(Low Level)아래는 Weak Session IDs 실습 페이지이다.‘Generate’ 버튼이 존재해서 해당 버튼을 클릭하.. 2024. 11. 18.
37. 웹 모의해킹 실습 (4) : SQL Injection, SQL InjectionI (Blind) SQL Injection  개념 데이터베이스(DB)와 연동된 웹 애플리케이션에서 공격자가 입력 폼 및 URL입력란에 SQL문을 삽입하여 DB로부터 정보를 열람(또는 조작)할 수 있는 취약점을 의미한다.  사용자가 웹 애플리케이션의 입력 폼이나 URL 쿼리 문자열에 SQL 구문을 포함한 악성 코드를 입력할 수 있는 경우, 애플리케이션이 이 입력값을 제대로 검증하지 않고 SQL 쿼리에 포함시키면 SQL 인젝션 취약점이 발생하는 원리이다.   웹 애플리케이션으로부터 전달된 사용자의 입력 값이 다시 웹서버에서 DB서버의 SQL분석기에 전달될 때, 제대로 된 검증을 하지 않으면 SQL문 주입 취약점이 발생한다.  즉, 악의적인 사용자가 입력한 SQL 구문이 기존의 쿼리와 결합되어, 원래 의도된 쿼리와는 다른 .. 2024. 11. 12.
36. 웹 모의해킹 실습 (3) : 파일 업로드, Insecure CAPTCHA 파일 업로드(File Upload)  개념 웹 애플리케이션에 파일 업로드 기능이 존재하고, 업로드 파일에 대한 필터링 조치가 미흡하여, 서버 측에서 실행될 수 있는  서버 사이드 스크립트 파일(asp, jsp, php 파일 등)을 업로드가 가능해서 발생할 수 있는 취약점을 의미한다.  이때, 게시판 내에 첨부파일이 업로드된 파일 경로를 확인하고, 해당 경로에 접근한 후 서버 상의 웹 쉘을 실행하여, 시스템 내부 명령어를 실행하거나 권한을 획득하고, 외부와 연결하여 시스템을 제어할 수 있다. 해당 취약점을 통해 서버에 영향을 미쳐서 권한 상승, 정보 유출,악성코드 배포 등의 여러 보안 사고가 발생할 수 있으므로, 매우 크리티컬 한 취약점이라고 할 수 있다. 실습(Low Level)아래는 Low Level.. 2024. 10. 27.
35. 웹 모의해킹 실습 (2) : CSRF, File Inclusion CSRF(Cross-Site Request Forgery)   개념 사이트 간 요청 위조라는 의미로 사용 자(클라이언트)의 권한을 이용하여, 공격자가 의도한 요청을 웹 애플리케이션의 보내는 공격이다.  즉, 사용자의 신뢰를 받는 웹사이트에서 사용자가 의도하지 않은 요청을 보냄으로써 악성 행위를 실행한다. 보통 사용자가 웹사이트에 로그인한 상태(세션 쿠키를 유지 중)에서 공격자가 조작한 악성 링크를 클릭하면, 공격자는 사용자의 세션을 이용해 사용자의 권한으로 악의적 요청을 서버로 전송할 수 있는 것이다. 즉, 링크나 페이지를 클릭하면, 공격자의 악의적 요청이 자동으로 웹사이트로 전송된다. 이때, 요청은 피해자의 세션 정보와 함께 전송되기 때문에 서버는 요청이 피해자로부터 온 것으로 판단하고, 해당 요청을 .. 2024. 9. 30.
34. 웹 모의해킹 실습 (1) : DVWA 환경 구성 및 Command injection, Brute Force 모의해킹은 우리가 직접 시나리오를 세우는 과정에서 취약점 진단의 매뉴얼로서 나와 있는 과정들도 당연히 활용할 수 있을 것이다.  하지만 그 밖에 여러 가지 도구를 사용하거나, 다른 사람들이 사용했던 기술들과 같이 여러 가지를 복합적으로 응용하여 이를 기반으로 여러 가지 방법들을 세운다고 할 수 있다.  즉 앞으로의 모의해킹 실습 과정에서는 여러 가지 고민을 하는 과정 또한 최대한 담아내고자 한다.   KALI LINUX(칼리 리눅스)   앞으로 DVWA를 기반으로 모의해킹 실습을 진행하기 위해서 칼리 리눅스를 활용할 예정이다. 개념 Kali Linux는 모의 해킹을 위한 리눅스 배포판으로, 보안 전문가들이 주로 사용하는 다양한 도구들이 기본적으로 설치된 상태로 제공된다.즉, 별도의 프로그램 설치 없이 바.. 2024. 9. 22.
33. 프록시(Proxy)란? 먼저 해당 글은 Proxy 기능을 가지고 있어 모의해킹을 지원하는 툴을 확실하게 짚고 넘어가기 위한 목적이라고 할 수 있다.    프록시(Proxy)  개념네트워크에서 중개 역할을 수행하는 서버 또는 프로그램을 의미한다. 익명성 제공, 콘텐츠 필터링, 캐싱, 보안 강화 등의 기능을 통해 네트워크 통신을 더욱 효율적이고 안전하게 관리할 수 있다. 클라이언트와 서버로 네트워크를 보았을 때, 클라이언트와 서버의 직접적인 연결 대신 프록시가 중간에 위치하여 프록시에 의해 통신이 이루어지는 것이다. 기능 익명성 제공 : 클라이언트의 IP 주소를 숨기고 프록시 서버의 IP 주소로 서버에 접속할 수 있다. 이를 통해 사용자의 신원을 보호하고 익명성을 유지할 수 있다. 캐싱(Caching) : 자주 요청되는 웹 페이지.. 2024. 9. 4.
32. 침해대응&CERT (10) : 웹 취약점 실습_4 오늘 알아볼 취약점 중 크로스 사이트 스크립트(XSS) 취약점과 SQL Injection 취약점은 위험도가 높게 판정되는 취약점이면서 실무에서도 중요하게 다룬다.    크로스 사이트 스크립트(XSS) 취약점  정의 공격자가 페이지에 악의적인 스크립트를 삽입하여, 해당 페이지를 열람하는 사용자의 권한으로 해당 스크립트가 실행되어  사용자의 세션을 가로채거나, 피싱 공격, 정보 유출 등의 공격을 진행할 수 있는 취약점을 의미한다.일반 사용자들 입장에서는 신뢰할 수 있다고 생각하는 웹 사이트에 공격자가 악성 스크립트를 삽입하고, 해당 스크립트가 포함된 게시글을 열람하는 피해자들의 쿠키가 공격자에게 전송된다.  이를 통해 공격자는 피해자의 브라우저에서 스크립트를 실행하여 웹사이트 변조, 악성 콘텐츠 삽입 등의 .. 2024. 8. 21.
31. 침해대응&CERT (9) : 웹 쉘(Web Shell)이란? 전 주차에서 다룬 주제 중 파일 업로드 취약점은 위험도가 높은 웹 취약점 중 하나라고 이야기했다. 특히 웹 쉘을 업로드하여, 관리자의 권환을 탈취함으로써 정보 유출, 2차 감염 등의 추가적인 리스크가 발생할 수 있는 여러가지 상황들이 존재하기 때문에, 웹 쉘(Web Shell)에 대한 부분은 좀 더 중요하게 다루고 있다.    웹 쉘(Web Shell)  정의 웹 애플리케이션 취약점(파일 업로드 취약점, SQL 인젝션 등)을 통해서 원격으로 웹 서버에 명령을 실행할 수 있도록 하는 악성 스크립트 또는 프로그램이다.  이를 통해 공격자는 서버에 대한 권한을 확보하고, 서버의 파일 시스템을 탐색하거나 변경할 수 있다. 특징 원격 관리 및 서버 제어 : 서버에 물리적으로 접속하지 않고도 웹 쉘을 통해 파일을 .. 2024. 8. 11.
30. 침해대응&CERT (8) : 웹 취약점 실습_3 정말 많은 취약점들도 위험도를 따지는 우선순위가 존재한다. 보통 이 위험도를 상, 중, 하로 나누는데, 상으로 선정하는 가장 큰 포인트는 관리자의 권한 등을 탈취하여, 실제로 관리자가 할 수 있는 모든 것들을 할 수 있을 때, 가장 크리티컬 하다고 이야기한다.  즉, 이러한 관리자 권한 탈취와 같이 무궁무진한 리스크가 존재하고, 관련된 영향이 존재하는 경우, 보통 위험도를 높게 평가하는 것이다. 그 외에는 발생 빈도, 실제 사고 이력 등을 따져서 그 밖의 위험도를 선정한다고 볼 수 있다. 오늘 다룰 파일 다운로드 취약점, 파일 업로드 취약점, 소스코드 내 중요 정보 노출 취약점, 공개용 웹 게시판 취약점 중에 위험도가 상으로 되어있는 것은 파일 업로드 취약점에 존재한다.  파일 다운로드 취약점도 사실상 .. 2024. 8. 6.
29. 침해대응&CERT (7) : 웹 취약점 실습_2 취약한 파일 존재 취약점  해당 취약점의 경우는 일단 취약한 파일을 분류하는 기준, 범위에 대한 고민을 시작해야한다. 예를 들어, 일반적인 입장에서는 로그 파일, 백업 파일 등이 취약한 파일이라고 생각할 수 있지만, 실제 취약점 진단, 모의 해킹에서는 내부 문서, 로그 파일, 백업 파일, 압축 파일 등 모두 취약한 파일로 간주하다 보니,  서로 생각하고 있는 범위가 다를 수 있는 것이다. 즉, 이러한 이유로 추후에 불필요한 감정 소모 등 여러 문제가 생길 여지가 있기 때문에, 취약점 진단이나 모의 해킹을 진행하기 전에 해당 부분에 대한 범위를 서로 간의 합의를 통해서 정확하게 지정하고, 진행하는 것들이 필요하다. 정의 웹 서버에 의도하지 않은 파일들(내부 문서, 백업파일, 로그파일, 압축파일 등)이 존재.. 2024. 7. 27.
28. 침해대응&CERT (6) : 웹 취약점 실습_1 앞으로 구글링을 통한 웹 취약점에 대해 다루어볼 예정이다. 구글링을 통해서 얻을 수 있는 취약점은 다양하게 존재하는데, 실제 실무에서 중요하게 다루는 취약점들에 대해 알아볼 예정이다.    관리자 페이지 노출 취약점  정의 웹 애플리케이션, 사이트의 관리자 페이지가 접근이 차단되는 형식이 아닌 인터넷을 통해 일반 사용자에게 접근 가능하게 노출된 경우를 의미한다.  이러한 관리자 페이지가 노출된 것만으로도, Brute Force(무차별 대입 공격), SQL Injection 공격 등 다양한 형태의 공격의 빌미를 제공하게 되는 취약점이다. 점검방안 /admin, /manager, /master, /system, /adm 등의 일반적으로 많이 사용하는 관리자 페이지 명을 입력하여 관리자 페이지가 존재하는지 점.. 2024. 7. 21.
27. 침해대응&CERT (5) : Shodan을 통한 취약 • 노출정보 검색 이 Shodan이라는 검색엔진은 취약점 진단, CERT, 침해대응 관련 업무를 수행할 때, 같이 확인하기 때문에 업무 범위에 포함이 되어있다고 볼 수 있다. 구글링을 통해서도 노출되어 있는 웹페이지에 관련된 내용들을 찾아볼 수 있지만, Shodan을 통해서도 관련 내용들을 검색할 수 있다는 점을 알아두자. 이번 글에서는 Shodan 키워드를 통한 Shodan의 이용 범위(검색할 수 있는 IoT 기기들) 및 기기에 따른 특징을 알아보고 실습을 진행해 볼 것이다. 검색할 수 있는 대표적인 IoT 기기로는 CCTV, WebCam, IP Cam, Network Printer, 산업제어시스템 등이 있다. 직전 글에서 네트워크 프린터와 산업제어시스템을 간략하게 다루었으므로, 세 가지 기기들의 특징을 먼저 알아볼 것.. 2024. 7. 13.
26. 침해대응&CERT (4) : 사물인터넷(IoT) • Shodan 사물인터넷(IoT)라고 불리는 개념의 범위는 우리가 일반적으로 생각하는 범위보다는 비교적 매우 방대한 범위를 가지고 있다 보니, 회사 내에 노출되어 있는 IP가 달려있는 네트워크 관련된 기기들이 Shodan이라는 검색엔진을 통해서 노출될 가능성이 있다는 것이 보안 측면에서의 리스크이자 업무 필요 부분이다.    사물인터넷(Internet of Things, IoT)  그러기 위해서는 IoT라는 개념을 먼저 정확하게 알아야 된다. 쉽게 이야기하면, 우리가 집에서 사용하는 여러 전자기기들이 네트워크가 된다고 생각할 수 있다.  네트워크가 된다는 의미는 어딘가와 통신을 하면서 거기에서 통제 또는 제어를 하거나, 정보를 수집하는 등의 일련의 과정이 가능하다는 것이다.  결과적으로는 연결되어 있는 네트워크에서 발.. 2024. 7. 7.
25. 침해대응&CERT (3) : Google Hacking을 통한 취약 • 노출정보 검색 이번 글에서는 직전 글에서 알아본 키워드를 직접 활용하여, 실제로 구글에 노출되어 있는 취약정보 등을 직접적으로 찾아보는 과정을 수행한다. 즉, 구글링만을 통해서도 노출된 여러 가지 취약한 정보를 찾아볼 수 있다. 이를 위해서는 키워드를 최대한 많이 사용해 보고, 여러 자료들을 찾아보면서 어떠한 검색 방법을 통해서 검색했을 때, 내용들이 나오는지 익혀놓을 필요성이 존재한다. 혼자 고민하고 응용하는 과정 또한 중요하지만, 여러 레퍼런스 또한 찾아보고 응용하면서 내 것으로 만드는 과정도 중요하다고 할 수 있다. 구글 해킹(Google Hacking) 실습 - 개인 정보 intitle:"index of" "/userlist/" 웹 서버의 디렉토리 인덱스가 "/userlist/"라는 단어를 포함하고 있는 페이지.. 2024. 7. 1.
24. 침해대응&CERT (2) : Google Hacking CERT는 보안 관제와 업무 성향이 다르게 비교적 적극적, 생산적, 활동적이다. 관제 쪽에서 모니터링 활동을 통해 침해 사고로 발생되는 것들이 확인되었을 때, CERT는 최대한 빠르게 즉각적으로 반응하여 사고의 규모가 커지지 않도록 대응해야 한다. 앞으로 진행할 침해대응&CERT 프로젝트는 실제로 노출되어 있는 환경을 기반으로 취약점을 직접적으로 관찰할 것이다. 구글 해킹(Google Hacking) - 개념 구글링(Googling)을 통해서 특정 정보를 효율적으로 수집할 수 있는 기법을 의미한다. 구글은 검색 엔진들이라고 불리는 네이버와 네이트와 같은 것들과는 다르게 키워드를 통해 우리가 원하고자 하는 내용들을 좀 더 상세하게 제공해 준다. 이를 통해 웹사이트에서 사용되는 구성, 소스 코드, 민감한 정.. 2024. 5. 27.
23. 침해대응&CERT (1) : 개념과 실무 보안 관제라는 대표적인 직무뿐만 아니라 CERT라고 불리는 직무도 존재한다. 대표적으로는 보안 관제, CERT, 취약점 진단, 모의 해킹 등으로 구분되어 있다고 할 수 있다. CERT는 보안관제처럼 신입을 채용하는 경우는 거의 없다고 볼 수 있다. 오늘 글에서 알아볼 업무 절차에는 초기 대응, 대응 전략 체계화 등에 대한 업무들이 존재하며, 해당 업무들을 원활하게 수행하기 위해서는 적절한 경력이 있어야만 한다. 침해사고대응팀(CERT) - 개념 정의(CERT: Computer Emergency Response Team) 조직이나 기업 내에서 발생하는 컴퓨터 보안 사고에 대응하기 위해 구성된 특수한 팀이나 조직이다. 이러한 팀은 보안 사고를 신속하게 탐지하고 대응하여 조직의 정보 시스템을 보호하고, 침해로.. 2024. 5. 16.
22. 악성코드 분석 보고서 (3) 이번 글은 직전에 분석했던 "feb document 10998.exe" 악성코드에 대한 분석 보고서이다.이전에 분석했던 "dgrep.exe" 악성코드 분석 보고서와는 달리 보완한 점은 다음과 같다. 페이지 넘버링전문 용어 주석 추가파일 분석 정보 SHA-256, 샘플 수집 환경 정보 추가텍스트 내에 중요하게 봐야 할 포인트 볼드체, 밑줄 표시, 색상 등 활용기초, 정적, 동적분석 결론 추가예방 및 대응방안 실시 과정 예시 추가 2024. 4. 28.

티스토리툴바