You are here:-Tech

XSS 대응방안

개요 XSS 공격은 웹 응용프로그램에 존재하는 취약점을 기반으로 웹 서버와 클라이언트간 통신 방식인 HTTP 프로토콜 동작과정 중에 발생합니다. XSS 공격은 웹사이트 관리자가 아닌 이가 웹페이지에 악성 스크립트를 삽입할 수 있는 취약점입니다. 주로 여러 사용자가 보는 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어집니다. 이 취약점은 웹 응용프로그램이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할

By | 2018-01-18T17:20:58+00:00 10월 24th, 2017|Categories: Tech|0 Comments

SESSION 대응방안

개요 공격자는 Web 사이트에 액세스하여 세션 ID 를 가져옵니다. 서버에서 이 세션 ID의 소유자는 GUEST로 연결 됩니다. 그런 다음 공격자는 획득 한 세션 ID를 사용하여 유저가 사이트에 액세스하도록 메일 등을 이용하여 피해자를 유도합니다. 유저는 메일 등의 링크로 공격자의 세션 ID를 사용한 상태에서 사이트에 로그인하도록 합니다. 피해자가 로그인 을 하면 서버에서 세션 ID와 피해자의 계정이 연결됩니다.

By | 2018-01-18T17:22:55+00:00 10월 24th, 2017|Categories: Tech|0 Comments

HTTP 대응방안

개요 HTTP Header Injection은 사용자 입력을 기반으로 동적 생성될때 발생하는 일반적인 웹 응용프로그램 보안 취약점입니다. 일반적으로 프록시/방화벽을 이용해서 request 정보를 컨트롤해서 원하는 response 값을 공격 대상에게 보내는 공격을 말합니다. 공격 이 공격의 핵심은 CR/LF 즉, 줄바꿈 문자열입니다. 간단한 CR/LF구문을 입력하여 서버로 요청을 하게 되면 응답 패킷에는 URL의 파라미터 부분의 lang 매개변수에 en%0D%0A값이 필터링 되지 않고

By | 2018-01-18T17:25:42+00:00 10월 24th, 2017|Categories: Tech|0 Comments

RCE 대응방안

개요 RCE(Remote Code Execution) RCE 취약점은 응용 프로그램이 적절한 입력 이스케이프 유효성 검사 없이 쉘 명령을 실행할 때 발생합니다. 공격 Command Injection을 이용하면 웹 어플리케이션을 구동하고 있는 시스템 계정의 Shell 권한을 획득하는 것으로 볼 수 있어 시스템에 존재하는 다양하고 유익한 명령어들을 이용해서 시스템에 악성 스크립트나 파일들을 업 로드 할 수 있습니다. 만약 대상 시스템에 시스템적인

By | 2018-01-18T17:26:05+00:00 10월 24th, 2017|Categories: Tech|RCE 대응방안에 댓글 닫힘

RFI 대응방안

개요 RFI(Remote File Inclusion) 취약점을 이용한 공격은 공격자가 악성 스크립트를 웹서버에 전달하여 해당 페이지를 통하여 전달한 악성 코드가 실행되도록 하는 것입니다. 쉽게 말해서 웹 어플리케이션에 공격자 자신의 코드를 원격으로 삽입 가능하다는 것입니다.   공격 ◆ [URL 공격] RFI 취약점을 이해하기 위해서는 먼저 PHP의 include함수에대해 알고 있어야 한다. Include()함수는 주로 모든 페이지에 포함될 표준 헤더 및

By | 2018-01-18T17:30:30+00:00 10월 24th, 2017|Categories: Tech|0 Comments

LFI 대응방안

개요 LFI(Local File Inclusion) 취약점은 웹 브라우저를 통해 서버에 파일을 포함시키는 과정입니다. 이 취약점은 인클루드할 페이지 경로가 적절히 필터링되지 않았고 디렉토리 변경 명령어들의 삽입을 허용했을때 일어납니다. 대부분의 LFI 취약점은 URL을 통해 이뤄지는데 이는 보통 개발자가 GET Method 사용을 선호하기 때문입니다.   공격 아래 PHP 코드는 간단하고 전형적인 LFI의 예입니다. ◆ [PHP 코드] <?php $file =

By | 2018-01-18T17:30:09+00:00 10월 24th, 2017|Categories: Tech|0 Comments

BASH 명령어를 rsyslog를 이용하여 ELK 취합 후 분석하기

BASH 명령어를 rsyslog를 이용하여 ELK 취합 후 분석하기 (Client) vi /etc/bash.bashrc export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"' vi /etc/rsyslog.d/bash.conf - rsyslog 추가 local6.* /var/log/commands.log vi /etc/rsyslog.d/01-json-template.conf - rsyslog 추가 template(name="json-template" type="list") { constant(value="{") constant(value="\"@timestamp\":\"") property(name="timereported" dateFormat="rfc3339") constant(value="\",\"@version\":\"1") constant(value="\",\"message\":\"") property(name="msg" format="json") constant(value="\",\"sysloghost\":\"") property(name="hostname") constant(value="\",\"severity\":\"") property(name="syslogseverity-text") constant(value="\",\"facility\":\"") property(name="syslogfacility-text")

By | 2017-12-12T09:38:25+00:00 10월 3rd, 2017|Categories: Tech|0 Comments

PRNG (Pseudorandom number generator) 사용하기

1. Openssl 인 경우 cryptographic software needs a source of unpredictable data to work correctly. Many open source operating systems provide a "randomness device" (/dev/urandom or /dev/random) that serves this purpose. All OpenSSL versions try to use /dev/urandom by default; starting with version 0.9.7, OpenSSL also tries /dev/random if /dev/urandom is not available. 참고: https://www.openssl.org/docs/faq.html

By | 2017-12-12T09:38:58+00:00 9월 22nd, 2017|Categories: Tech|0 Comments

Microsoft IIS 서버에 ModSecurity 올리기

ModSecurity 란? 오픈 소스 웹 응용프로그램 방화벽(WAF)입니다. 원래는 아파치 모듈로 개발되었지만, Apache 뿐만아니라 Microsoft IIS 및 NGINX를 비롯하여 다양한 플랫폼 전반에 걸쳐 다양한 보안기능과 함께 Hypertext Transfer Protocol 요청 및 응답 필터링 기능을 제공합니다. ModSecurity는 웹 공격에 대한 침임탐지 및 침입방지 기능을 추가해주는 하나의 모듈로 동작하며, 웹 클라이언트와 웹 서버 사이에 ModSecurity가 존재하여 클라이언트로부터

By | 2017-12-12T09:39:28+00:00 5월 19th, 2017|Categories: Tech|0 Comments

X-Forwarded-For(XFF) 란?

X-Forwarded-For(XFF) 란? XFF는 HTTP Header 중 하나로 HTTP Server에 요청한 Client의 IP를 식별하기 위한 표준입니다. 웹 서버나 WAS 앞에 L4 같은 Load balancers 나 Proxy server, caching server 등의 장비가 있을 경우 웹서버는 Proxy server 나 장비IP에서 접속한 것으로 인식합니다. 그렇기 때문에 웹서버는 실제 클라이언트 IP가 아닌 앞단에 있는 Proxy서버 IP를 요청한 IP로 인식하고, Proxy장비

By | 2018-01-18T17:35:22+00:00 2월 27th, 2017|Categories: Tech|0 Comments