https://haksuperman.tistory.com/31# [Terraform] 테라폼 작업을 위한 사전 준비(feat. AWS Credentials, IAM 등)1. 테라폼 작업용 AWS IAM User 생성  Terraform으로 작업할 최소한의 권한만 부여 해야 함!실습을 위해 AdministratorAccess 권한을 부여한 것, 절대 위험!!!(추후 권한 관련 IAM 공부는 꼭 하기) 사실 테라폼haksuperman.tistory.com 1. terraform.tfvars의 필요성기존에는 AWS에 계정 인증을 aws configure 명령을 통해 진행했었다. ~/.aws/config 파일과 ~/.aws/credentials 파일을 통해 확인할 수 있었다. 이 파일들이 손상된다면 AWS와의 ..

1. IAM Group 생성// IAM Group 생성resource "aws_iam_group" "develop_group" { name = "develop"} 더보기develop 이라는 IAM Group 생성 정상적으로 생성된 것 확인 2. IAM User 생성// IAM User 생성resource "aws_iam_user" "haksu" { name = "haksu.god"}더보기haksu.god 이라는 IAM User 생성정상적으로 생성된 것 확인 3. Policy 생성 및 생성한 develop 그룹에 Attach// Policy 생성data "aws_iam_policy" "administrator_access" { name = "AdministratorAccess"}// 생성한 devel..

XSS 취약점은 외부의 공격자가 클라이언트 스크립트를 악용하여 웹 사이트에 접속하려는 일반 사용자로 하여금 공격자가 의도한 명령이나 작업을 수행하도록 하는 공격이다. 공격자는 이 공격을 이용해서 악성 서버 유도, 사용자 쿠키 정보 추출을 통한 세션 가로채기 공격 등을 수행할 수 있다. SQL 구문이 아닌 스크립트를 악용하는 기법으로, 로그인 한 피해자의 쿠키 값을 탈취하거나 악성 서버로 유도 되어서 악성코드를 감염시킬 수 있다. 웹 페이지의 경우 개발 편의성이나 시간 단축 측면에서 효율적인 동적인 메커니즘으로 제작되는 경우가 많은데 변수를  활용하는 이런 동적인 페이지의 유연성은 XSS 취약점을 유발하는 원인이 되기도 한다.1. 취약성 및 위험성메시지를 매개변수로 받는 동적인 페이지 -> 개발 편의성 및..

이러한 실습은 항상 단순 실습용으로, 공부용으로만 진행하기! 실제 운영 중인 사이트에 시도조차 하지 말기!!! 철컹철컹 웹 서버와 DB 서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면(로그인, 검색 입력 창 등)이 존재하고 입력 받는 문자열에 별도의 처리 없이 데이터베이스 조회를 위한 SQL 구문이 사용될 경우 정상적인 SQL 구문 인자 값의 변조를 통해 데이터베이스 접근 및 임의의 SQL Query문을 실행할 수 있다. ※ 이전 게시물에 이어 진행(여기서부턴 다시 진행하면서 캡처한 내용이 아닌, 캡쳐본을 따온 사진들이기 때문에 말끔하지 못함..)https://haksuperman.tistory.com/44 [Web Security] SQL Injection(1)_Burp Suite, 프록시 설..

웹 서버와 DB 서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이(로그인, 검색 입력 창 등) 존재하고 입력 받는 문자열에 별도의 처리 없이 데이터베이스 조회를 위한 SQL 구문이 사용될 경우 정상적인 SQL 구문 인자 값의 변조를 통해 데이터베이스 접근 및 임의의 SQL Query문을 실행할 수 있다. * Burp Suite와 Chrome 진행 예정1. Burp Suite  설치 및 기본 설정https://portswigger.net/burp/releases/professional-community-2024-4-4?requestededition=community&requestedplatform= Professional / Community 2024.4.4This release introduce..

1. 쇼단(Shodan)구글이 컨텐츠를 검색하는 웹 서비스라면, 쇼단(Shodan)은 인터넷에 연결된 장치를 검색하는 웹 서비스이다. https://www.shodan.io ShodanSearch engine of Internet-connected devices. Create a free account to get started.www.shodan.io로그인을 진행해야 완전한 Searching을 할 수 있다. 인터넷에 노출되어 있는 정보들을 가공해서 보기 편하게 모아 놓은 것(실제 해킹의 작업은 x) IP와 서버 종류들도 확인 가능(더 취약한 웹 서버의 경우 버전 정보까지도 나올 수 있음 -> 버전 별로 노출된 취약점 확인 가능) IP 혹은 IP 대역대로 검색할 때는 net: 을 붙여서 검색 2. Cen..

웹 해킹은 웹 서비스를 대상으로 발생하는 해킹을 말한다. 주로 웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 또는 파괴와 같은 행위를 말한다. 1. 웹 해킹(Web Hacking)웹 서비스를 대상으로 하는 해킹웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴하는 행위 2. 종류웹 엔진을 이용한 해킹(Apache, IIS 취약점 등)웹 서버 및 미들웨어를 이용한 해킹(OS, JEUS, WebLogic, WebShere 취약점 등)주로 웹 애플리케이션을 이용한 해킹(SQL Injection, XSS, 파일 업로드/다운로드 취약점) 3. 웹 취약점의 위험성웹에서 이용되는 구간 전 범위에서 1차 피해 발생 가능웹 서비스 공격에서 2차 공격으로 인한 추가..

ARP 스푸핑은 근거리 네트워크에서 사용되는 대표적인 중간자 공격으로 두 단말 간의 통신을 속여 자신을 통해 통신하도록 만들어 중간에서 네트워크 통신 내용을 스니핑 또는 스푸핑 하도록 하는 기술이다. 1. ARP 스푸핑근거리 네트워크(LAN) 환경에서 중간자 공격에 사용되는 기술로 활용IP에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 변조하여 공격하는 방식2. APR 스푸핑을 이용한 MITM 공격 원리두 단말 간의 통신 사이에서 정상 통신으로 속여 데이터가 공격자를 경유하도록 유도하는 기술두 단말 간은 정상적 통신을 하는 것으로 알고 있지만 실제로는 공격자를 통해 패킷을 전달공격자는 두 단말 간의 통신 내용을 스니핑(Sniffing) 또는 스푸핑(Spoofing) 하여 전달 가능..