개요 RFI(Remote File Inclusion) 취약점을 이용한 공격은 공격자가 악성 스크립트를 웹서버에 전달하여 해당 페이지를 통하여 전달한 악성 코드가 실행되도록 하는 것입니다. 쉽게 말해서 웹 어플리케이션에 공격자 자신의 코드를 원격으로 삽입 가능하다는 것입니다. 공격 ◆ [URL 공격] RFI 취약점을 이해하기 위해서는 먼저 PHP의 include 함수에 대해 알고 있어야 한다. Include() 함수는 주로 모든 페이지에 포함될
개요 LFI(Local File Inclusion) 취약점은 웹 브라우저를 통해 서버에 파일을 포함시키는 과정입니다. 이 취약점은 인클루드할 페이지 경로가 적절히 필터링되지 않았고 디렉토리 변경 명령어들의 삽입을 허용했을 때 일어납니다. 대부분의 LFI 취약점은 URL을 통해 이뤄지는데 이는 보통 개발자가 GET Method 사용을 선호하기 때문입니다. 공격 아래 PHP 코드는 간단하고 전형적인 LFI 의 예입니다. ◆ [PHP 코드] <?php
BASH 명령어를 rsyslog 를 이용하여 ELK 취합 후 분석하기 (Client) vi /etc/bash.bashrc export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"' vi /etc/rsyslog.d/bash.conf - rsyslog 추가 local6.* /var/log/commands.log vi /etc/rsyslog.d/01-json-template.conf - rsyslog 추가 template(name="json-template" type="list") { constant(value="{") constant(value="\"@timestamp\":\"") property(name="timereported" dateFormat="rfc3339") constant(value="\",\"@version\":\"1") constant(value="\",\"message\":\"") property(name="msg" format="json") constant(value="\",\"sysloghost\":\"") property(name="hostname") constant(value="\",\"severity\":\"") property(name="syslogseverity-text") constant(value="\",\"facility\":\"")
1. Openssl 인 경우 cryptographic software needs a source of unpredictable data to work correctly. Many open source operating systems provide a "randomness device" (/dev/urandom or /dev/random) that serves this purpose. All OpenSSL versions try to use /dev/urandom by default; starting with version 0.9.7, OpenSSL also tries /dev/random if /dev/urandom is not available. 참고: https://www.openssl.org/docs/faq.html
ModSecurity 란? 오픈 소스 웹 응용프로그램 방화벽(WAF)입니다. 원래는 아파치 모듈로 개발되었지만, Apache 뿐만 아니라 Microsoft IIS 및 NGINX 를 비롯하여 다양한 플랫폼 전반에 걸쳐 다양한 보안 기능과 함께 Hypertext Transfer Protocol 요청 및 응답 필터링 기능을 제공합니다. ModSecurity 는 웹 공격에 대한 침임 탐지 및 침입 방지 기능을 추가해주는 하나의 모듈로 동작하며, 웹 클라이언트와
X-Forwarded-For(XFF) 란? XFF 는 HTTP Header 중 하나로 HTTP Server 에 요청한 Client 의 IP 를 식별하기 위한 표준입니다. 웹 서버나 WAS 앞에 L4 같은 Load balancers 나 Proxy server, caching server 등의 장비가 있을 경우 웹서버는 Proxy server 이나 장비 IP 에서 접속한 것으로 인식합니다. 그렇기 때문에 웹서버는 실제 클라이언트 IP 가 아닌 앞단에
윈도우를 위한 관리, 진단, 트러블슈팅 툴인 Sysinternal utilities 는 2006년 마이크로소프트로 흡수된 이후 누구나 무료로 TechNet 을 통해 다운받아 사용할 수 있도록 제공되고 있습니다. Sysinternal 을 구성하는 많은 유틸리티 중 Sysmon 은 시스템 내에서 일어나는 여러 행위들을 기록하며 이를 통해 잠재적인 위협을 예방할 단서들을 얻을 수 있습니다. PLURA V5 는 Sysmon 에서 기록하는 로그를 통합관리할
ff02::1:3 or fe80:: ...? (Event ID 5156, 5157...) ◈ 이벤트 로그를 살펴보다보면 Xml 문서에서 아래의 알수 없는 문자들을 보게 됩니다. ◈ 결론부터 말하자면 IPv4(Internet Protocol version 4)와 IPv6(Internet Protocol version 6)의 차이 때문입니다. IPv4는 32비트의 주소공간을 제공함에 반해, IPv6는 128비트의 주소공간을 제공합니다. IPv4주소는 10진수 형태로 A.B.C.D 와 같이 4개의 점으로 구분되어 표현되지만 IPv6주소표현 형태는 16진수
로그온 실패 코드(Event ID 4625) 상태 코드 실패 이유 설명 0xC0000064 사용자 이름이 존재하지 않습니다. 0xC000006A 사용자 이름이 올바르지만 암호가 잘못되었습니다. 0xC000006C 암호 정책을 충족하지 않습니다. 0xC000006D 시도한 로그온은 사용자 이름이 잘못되었습니다. 0xC000006E 사용자 계정 제한으로 로그온 할 수 없습니다. 0xC000006F 사용자 계정에 시간 제한이 있으며 지금은 로그온 할 수 없습니다. 0xC0000070 사용자가 제한되었으며 원본
로그온 유형(Event ID 4624) 유형 제목 설명 2 대화형 사용자가 이 컴퓨터에 로그온했습니다.(키보드 로그온) 3 네트워크 사용자 또는 컴퓨터가 네트워크상의 컴퓨터에 로그온했습니다. (다른?네트워크를 통한 액세스, 파일 공유, IIS접속 등) 4 배치 (자동실행) 사용자가 직접 개입하지 않고 배치 서버에 의한 프로세스 실행으로 로그온했습니다. 5 서비스 서비스 제어 관리자에 의해 서비스가 시작되었습니다. 7 잠금해제 화면보호기 잠금 해제
