https://haksuperman.tistory.com/50 [Terraform] 단일 서버, 단일 웹 서버 배포https://haksuperman.tistory.com/48 [Terraform] terraform.tfvars를 통한 변수 값 저장(feat. AWS Credentials)https://haksuperman.tistory.com/31# [Terraform] 테라폼 작업을 위한 사전 준비(feat. AWS Credentials, IAM 등)1. 테라폼 작업haksuperman.tistory.com이전 게시물에 이어 진행. 1. DRY 원칙8080 코드 중복되어 있음DRY(Don't Repeat Yourself) 원칙, 반복하지 말라는 원칙을 위반하고 있는 상황. 코드 내에서 모든 지식은 유..

Unix 서버 취약점 분석·평가 항목1. 계정 관리(U-01 ~ U04, U-44 ~ U-54 -> 15개)2. 파일 및 디렉터리 관리(U-05 ~ U-18, U-55 ~ U-59 -> 19개)3. 서비스 관리(U-19 ~ U-41, U-60 ~ U-71 -> 35개)4. 패치 관리(U-42 -> 1개)5. 로그 관리(U-43, U-72 -> 2개) 1. 취약점 개요1) 점검 내용시스템 정책에 root 계정의 원격 터미널 접속 차단 설정이 적용되어 있는지 점검2) 점검 목적관리자 계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위함3) 보안 위협root 계정은 운영체제의 모든 기능을 설정 및 변경이 가능하여(프로세스, 커널 변경 등) root ..

KISA 한국인터넷진흥원에서 발간한 기술적 취약점 분석, 평가 방법 상세 가이드라는 가이드를 참고해, 운영체제 별, 서버/클라이언트 별로 세부 항목으로 관리해야하는 기본적인 정보보인 기법이 기재 되어 있다. 이를 참고해 공부할 예정이다. https://www.kisa.or.kr/2060204/form?postSeq=12&page=1 KISA 한국인터넷진흥원 www.kisa.or.kr  01. Unix 서버1. 계정 관리2. 파일 및 디렉터리 관리3. 서비스 관리4. 패치 관리5. 로그 관리 02. 윈도우즈 서버1. 계정 관리2. 서비스 관리3. 패치 관리4. 로그 관리5. 보안 관리6. DB 관리 03. 보안장비1. 계정 관리2. 접근 관리3. 패치 관리4. 로그 관리5. 기능 관리 04. 네트워크 장비..

https://haksuperman.tistory.com/48 [Terraform] terraform.tfvars를 통한 변수 값 저장(feat. AWS Credentials)https://haksuperman.tistory.com/31# [Terraform] 테라폼 작업을 위한 사전 준비(feat. AWS Credentials, IAM 등)1. 테라폼 작업용 AWS IAM User 생성  Terraform으로 작업할 최소한의 권한만 부여 해야 함!실습을 위해 Adminhaksuperman.tistory.com이전 글에 이어 진행입니다. 1. 단일 서버1) 프로바이더 구성main.tfprovider "aws" { region = var.AWS_REGION access_key = var.AWS_..

웹 애플리케이션 개발/운영 환경에서 공격자가 실행 가능한 언어로 작성된 공격 프로그램을 업로드한 후 원격 해당 파일에 접근하여 실행시키는 취약점이다. 1. 파일 업로드 해킹 방법1) 공격자가 실행 가능한 언어로 작성된 공격 프로그램을 업로드업로드 기능 이용개발/운영 환경 : JAVA / .NET / PHPJAVA 환경에서 실행 가능한 언어로 작성된 파일 : .jsp 등.NET 환경에서 실행 가능한 언어로 작성된 파일 : .asp 등PHP 환경에서 실행 가능한 언어로 작성된 파일 : .php 등.asp 환경임을 확인 2) 업로드한 악성 파일을 실행업로드 한 파일은 서버측 업로드 전용 폴더를 만들어 놓았을 때 보통 해당 폴더에 저장됨공격자는 업로드 파일 위치한 경로명(폴더 이름)을 알아내고, URL 직접 접..

https://haksuperman.tistory.com/31# [Terraform] 테라폼 작업을 위한 사전 준비(feat. AWS Credentials, IAM 등)1. 테라폼 작업용 AWS IAM User 생성  Terraform으로 작업할 최소한의 권한만 부여 해야 함!실습을 위해 AdministratorAccess 권한을 부여한 것, 절대 위험!!!(추후 권한 관련 IAM 공부는 꼭 하기) 사실 테라폼haksuperman.tistory.com 1. terraform.tfvars의 필요성기존에는 AWS에 계정 인증을 aws configure 명령을 통해 진행했었다. ~/.aws/config 파일과 ~/.aws/credentials 파일을 통해 확인할 수 있었다. 이 파일들이 손상된다면 AWS와의 ..

1. IAM Group 생성// IAM Group 생성resource "aws_iam_group" "develop_group" { name = "develop"} 더보기develop 이라는 IAM Group 생성 정상적으로 생성된 것 확인 2. IAM User 생성// IAM User 생성resource "aws_iam_user" "haksu" { name = "haksu.god"}더보기haksu.god 이라는 IAM User 생성정상적으로 생성된 것 확인 3. Policy 생성 및 생성한 develop 그룹에 Attach// Policy 생성data "aws_iam_policy" "administrator_access" { name = "AdministratorAccess"}// 생성한 devel..

XSS 취약점은 외부의 공격자가 클라이언트 스크립트를 악용하여 웹 사이트에 접속하려는 일반 사용자로 하여금 공격자가 의도한 명령이나 작업을 수행하도록 하는 공격이다. 공격자는 이 공격을 이용해서 악성 서버 유도, 사용자 쿠키 정보 추출을 통한 세션 가로채기 공격 등을 수행할 수 있다. SQL 구문이 아닌 스크립트를 악용하는 기법으로, 로그인 한 피해자의 쿠키 값을 탈취하거나 악성 서버로 유도 되어서 악성코드를 감염시킬 수 있다. 웹 페이지의 경우 개발 편의성이나 시간 단축 측면에서 효율적인 동적인 메커니즘으로 제작되는 경우가 많은데 변수를  활용하는 이런 동적인 페이지의 유연성은 XSS 취약점을 유발하는 원인이 되기도 한다.1. 취약성 및 위험성메시지를 매개변수로 받는 동적인 페이지 -> 개발 편의성 및..