지식 채우는 블로그

기획 기획 할 줄도 모르는 사람이 해본 나만의 기획! 그래서 미리 캔버스에서 모양만 잡았습니다. 이 글에는 초창기의 노션에 작성한 내용이 들어있기 때문에 실제 결과물과는 약간의 차이가 있습니다. 만들 때의 목표는 1. 굳이 예쁘게 만들지 말자! 예쁘게 만들겠다고 시간 잡아먹는게 좋지 않다고 생각해서 기능 구현을 더 우선순위로 두기로 했습니다. 2. 최소 기능 설정 회원가입, 로그인, 게시판, 마이페이지는 최소 기능으로 생각해서 넣었습니다. Logo 포켓몬을 좋아해서 몬스터볼같이 생긴 이미지를 사용했고 Naver나 Toss처럼 짧은 이름을 만들고 싶어서 고민중입니다. main page 위에 있는 회색은 베너를 넣었습니다. 회원가입 로그인 소개 PAGE 개인 공부 게시판 익명이 아닌 작성자가 드러나도록 바꿨..

4월에 티스토리에 어떤 게시글을 올릴지 고민 중입니다. 이번달에 정보처리기사 실기시험이 있기 때문에 해당주에는 공부에 집중하면서 올리지 않을 것이지만 다른 주에는 1개 이상 올리겠습니다. 1. 저번달부터 만들어왔던 웹에 대한 내용을 올리기 xmapp를 이용해서 웹모의해킹을 하기 위해 웹을 하나 만들고 있는데 해당 내용을 정리되면 하나씩 올릴 생각입니다. 2. Bee-Box 내용 업로드 제가 만든 웹에서 주통 28 항목을 다 할 수는 없다고 생각하기 때문에 부족한 항목은 Bee-Box에서 진행해서 올리겠습니다.

Hack Tools Hack Tools은 모의해킹을 할 때 사용가능한 여러 명령어를 모아놓은 툴입니다. Reverse Shell이나 XSS, SQL Injection에 사용 가능한 여러 명령어가 있습니다. 꼭! 사용은 개인 서버에서만 하시길 바랍니다. 타인 웹 서버에 했다간 큰일 납니다. (잘못된 사용에 대해 작성자는 책임지지 않습니다.) 핵툴은 b374k와 마찬가지로 사전 단계를 시행해야합니다. 사전 단계는 아래 링크에서 확인 바랍니다. https://snorlax1224.tistory.com/71 b374k 설치와 사용 방법 공부하다가 b374k라는 것을 알게 되었는데 한국어로 마땅한 정보가 없어 보여서 직접 작성합니다. 파일 업로드를 확인할때 사용하면 좋은 웹셸입니다. (그렇다고 타인의 웹서버에 올..

데이터 평문 전송 개념 통신간 암호화를 하지않아 발생하는 취약점입니다. 발생 원인 통신간 암호화를 하지않아 발생하는 취약점입니다. 위험한 이유 암호화를 하지 않으면 스니핑 같은 간단한 도청에도 정보를 탈취 혹은 도용할 수 있습니다. 조치 방법 - 웹상에서의 전송 정보를 제한하여 불필요한 비밀번호, 주민번호, 계좌정보와 같은 중요정보의 전송을 최소화하여야 하며, 중요정보에 대해서는 반드시 SSL등의 암호화 통신을 사용하여 도청으로부터의 위험을 제거합니다. - 쿠키와 같이 클라이언트 측에서 노출되는 곳에 비밀번호, 인증인식 값, 개인정보 등의 정보를 기록하지 않습니다. - 암호화 전송 시 프로토콜 설계의 경함이 있는 SSLv2, SSLv3, TLSv1.0, TLSv1.1은 비활성화 하고 TLSv1.2이상 사..

개념 - 예측 가능한 폴더에 불필요한 파일이 존재하는 취약점입니다. 발생 원인 불충분한 보안 대책으로 인해 발생합니다. 위험한 이유 폴더나 파일의 위치가 예측 가능하고 쉽게 노출될 경우 공격자가 이를 악용해 민감한 데이터에 접근하는 2차 피해를 야기시킬 수 있습니다. 조치 방법 - Robots.txt 파일 작성을 통해 검색 차단할 디렉터리 확장자, 페이지 등을 지정할 수 있으며 HTML의 HEAD 태그 내에 META 태그를 추가하여 검색엔진의 인덱싱을 차단합니다. - 웹 디렉터리를 조사하여 아래의 삭제해야 할 파일 확장자에 포함된 백업 파일을 모두 삭제하고, *.txt 확장자와 같이 작업 중 생성된 일반 텍스트 파일이나 이미지 파일 등도 제거합니다. - 백업 파일은 백업 계획을 수립하여 안전한 곳에 정기..

개념 유추하기 쉬운 URL로 관리자 페이지나 메뉴에 접근가능한 취약점입니다. 발생 원인 불충분한 보안 대책으로 인해 발생합니다. 위험한 이유 공격자가 관리자의 권한을 얻을 경우 웹 사이트 변조나 정보 탈취가 이루어질 수 있습니다. 조치 방법 - 일반 사용자의 접근이 불필요한 관리자 로그인 페이지 주소를 유추하기 어려운 이름으로 변경하고 관리자 페이지 접근 포트도 변경합니다. - 관리자 페이지의 하위 페이지 URL을 직접 입력하여 접근하지 못하도록 페이지 마다 세션 검증이 필요합니다. - 관리자 페이지 이외에도 특정 사용자만 접근 가능한 페이지들은 정상적인 프로세스에 따라 접근할 수 있도록 페이지마다 세션 검증이 필요합니다. - 웹 방화벽을 이용하여 특정 IP만 접근 가능할 수 있도록 룰셋을 적용합니다. ..

파일 업로드 개념 공격자가 심은 Server Side Script 파일이 업로드되어 실행되는 취약점입니다. 발생 원인 업로드되는 파일의 확장자에 대한 확인 로직 미흡으로 발생합니다. 위험한 이유 공격자가 조작된 Server Side Script 파일을 서버에 업로드하여 시스템 관리자 권한 획득이나 인접 서버에 침입, 혹은 정보 탈취등을 시행할 수 있습니다. 조치 방법 - 화이트 리스트 방식으로 허용된 확장자만 업로드 가능토록 서버 측 통제를 적용합니다. - 업로드되는 파일을 디렉터리에 저장할 때 파일명과 확장자를 외부 사용자가 추측할 수 없는 문자열로 변경하여 저장합니다. - 업로드 파일을 위한 전용 디렉터리를 별도로 생성하여 웹 서버 데몬 설정 파일(httpd.conf 등)에서 실행 설정을 제거함으로써..

앞선 글에서 b374k 설치와 여는 방법까지 했습니다. https://snorlax1224.tistory.com/71 b374k 설치와 사용 방법 공부하다가 b374k라는 것을 알게되었는데 한국어로 마땅한 정보가 없어보여서 직접 작성합니다. 파일 업로드를 확인할때 사용하면 좋은 웹셸입니다. (그렇다고 타인의 웹서버에 올리면 안됩니다 snorlax1224.tistory.com 못 보신 분들은 위의 링크 타셔서 확인 부탁드립니다. 이번 글은 제가 써본 기능들에 대한 소개입니다. 꼭! 개인 서버에서만 하시길바랍니다. 타인 웹 서버에 했다간 큰일납니다. (잘못된 사용에 대해 작성자는 책임지지않습니다.) Explorer explorer는 디렉토리 인덱싱한 것마냥 GUI형식으로 디렉토리를 보여줍니다. 처음 들어가면..

공부하다가 b374k라는 것을 알게 되었는데 한국어로 마땅한 정보가 없어 보여서 직접 작성합니다. 파일 업로드를 확인할때 사용하면 좋은 웹셸입니다. (그렇다고 타인의 웹서버에 올리면 안 됩니다. 개인 웹서버에서만 진행하세요.) b374k란? b374k는 다양한 기능을 갖춘 PHP 웹셸입니다. 웹 쉘은 공격자가 웹 서버에 원격으로 접근하고 제어할 수 있도록 하는 악성 스크립트입니다. b374k는 다음과 같은 기능을 제공합니다. 기능: 파일 관리: 파일 보기, 편집, 삭제, 업로드, 다운로드, 압축/해제축소 파일 검색: 파일 이름, 파일 내용, 폴더를 검색 명령 실행: 서버에서 임의의 명령 실행 DBMS 연결: MySQL, MSSQL, Oracle, SQLite, PostgreSQL 등 다양한 데이터베이스 ..

자동화 공격 개념 DoS같은 자동화 공격으로 웹 APP 자원이 고갈되는 취약점입니다. 발생 원인 불충분한 보안 대책으로 인해 발생합니다. 위험한 이유 자동화 공격을 통제하지 않을 경우 계정이 탈취될 수 있고, 웹 APP 자원을 고갈시켜 서비스 장애를 일으킬 수 있습니다. 조치 방법 - 로그인 시도, 게시글 등록, SMS 발송 등에 대한 사용자 요청이 일회성이 될 수 있도록 캡차 등 일회성 확인 로직을 구현하여야 합니다. - 자동화 공격을 시도하면 짧은 시간에 다량의 패킷이 전송되므로 이를 공격으로 감지하고 방어할 수 있는 IDS/IPS 시스템을 구축하여야 합니다. 프로세스 검증 누락 개념 인증이 필요한 중요페이지의 통제수단이 미흡한 경우 발생하는 취약점입니다. 발생 원인 불충분한 보안 대책으로 인해 발생..