Security Story 433

[Redhat8] 미러 저장소 Repository 사용하기

소프트웨어 리포지토리 또는 "repo"는 사용자가 Linux서버에서 패키지를 다운로드하여 설치할 수 있는 Redhat Linux 배포용 RPM 소프트웨어 패키지를 유지하는 중앙 위치이다. 리포지토리(Repository)는 일반적으로 인터넷의 여러 사용자가 액세스 할 수있는 미러 저장소에 저장되나, 서버에서 자체 로컬 저장소를 작성하고 단일 사용자로 액세스하거나 HTTP 웹 서버를 사용하여 로컬 LAN (Local Area Network)의 다른 시스템에 대한 액세스를 허용 할 수 있다. YUM (Yellowdog Updater Modified) 또는 DNF (Dandified YUM)는 RPM (RedHat Package Manager) 기반 Linux 시스템 용 소프트웨어 패키지 관리 유틸리티로 Red..

Infomation 2021.06.21

[계정관리] ROOT 계정 원격 접속 제한

사용된 OS 정보 : CentOS 6.10 x64 서버를 운영하다가 보면 서버실에 들어가서 콘솔(Console)로 작업하는 것보다 사무실 책상에서 Telnet*, SSH**를 이용하여 원격 연결 후 작업하는 경우 대부분이다. 원격 로그인을 할 때 편의상 root 계정으로 바로 로그인을 허용하고 사용하는 경우가 많으며 이는 보안상 문제가 발생할 수 있다. 그 이유는 공격자(해커 등)들은 기본적으로 먼저 서버에 Open 되어 있는 Port를 확인 후 Telnet나 SSH로 원격 접속이 가능한 경우 무작위 대입 공격(Brute Force Attack)***, 사전 대입 공격(Dictionary Attack)****등을 이용하여 root 계정으로 로그인을 시도한다. 해당 공격들이 성공하면 서버는 공격자(해커 등..

Kali Linux 2021.1 Release

취약점 진단 도구, 악성코드 분석 등 여러 목적으로 활용할 수 있는 Kali Linux가 2021년도 첫 번째 릴리즈를 2월 24일(수)에 출시되었습니다. 2020년 11월 2020.4 Release이후 변경된 내용은 간략하게 아래와 같습니다. Xfce 4.16- 현재 기본 데스크톱 환경이 업데이트 및 조정 KDE 5.20- 플라즈마도 버전 범프를 받음 터미널 - mate-terminal, terminator, tilix 모두 다양한 작업을 수행 Command Not Found - 프로그램을 설치할 필요가 있는지 여부를 판단하는데 도움 더 많은 도구 작성자와의 파트너십 -BC Security & Joohoi는 훌륭한 도구를 만들어 왔으며 이를 지원 새로운 도구 및 업데이트 -여러 가지 새로운 도구가 Ka..

Burp Suite CA 인증서 설치

Burp Suite를 통해 HTTPS 웹 사이트를 탐색 할 때, 기본적으로 프록시는 자신의 인증 기관 (CA) 인증서로 서명 된 각 호스트에 대한 SSL 인증서를 생성한다. 이 CA 인증서는 처음 Burp Suite를 실행 할 때 생성되어 로컬에 저장된다. HTTPS 웹 사이트에서 가장 효과적으로 Burp Suite 프록시를 사용하려면, 브라우저에서 Burp Suite CA 인증서를 [신뢰할 수 있는 루트 인증기관]에 설치 해야한다. Burp Suite CA 인증서 설치 방법은 IE 기준 아래와 같다. (웹 브라우저 프록시 설정 후 Burp Suite가 실행되고 있다는 조건하에 진행한다.) 1. 웹 브라우저를 실행 시킨 후 주소창에 http://burp를 입력 한다. http://burp를 입력하면, B..

Infomation 2016.10.08

OWASP ZAP CA 인증서 설치

SSL이 적용되어 있는 웹 사이트에 OWASP ZAP을 이용하여, 취약점 점검을 진행 할 때 아래와 같이 SSL 경고 메시지를 출력 하는 경우가 있다. OWASP ZAP은 웹을 프록시하면서 SSL 트래픽을 암호화/복호화의 번거로움을 해결하기 위한 dynamic SSL 인증서 생성 기능을 가지고 있다. dynamic SSL 인증서 생성 기능을 이용해서, SSL 경고 메시지가 출력되는 문제를 해결할 수 있으며, dynamic SSL 인증서 생성 방법은 아래와 같다. OWASP ZAP의 [Tools] - [Options] 메뉴를 클릭한다. Options 메뉴를 클릭하면, OWASP ZAP의 각종 옵션을 설정할 수 있는 팝업창이 나타난다.여기서 Dynamic SSL Certificates를 클릭한다. Dynam..

Infomation 2016.08.23

OWASP ZAP User Interface - 메뉴바(Menu Bar)에서 파일 메뉴

파일 메뉴파일 메뉴는 현재의 세션을 처리하며, 기본적으로 다음 메뉴 항목이 존재한다.1. New SessionNew Session 메뉴는 새로운 세션을 만들 때 사용한다. New Session 메뉴 클릭하면 아래와 같이 현재 세션을 저장하지 않는다는 경고창이 나타난다.[확인]을 클릭하면 현재 세션을 저장하지 않기 때문에 현재 세션에있는 모든 데이터를 잃게 된다. 새로운 세션이 만들어지면, 세션 유지 여부를 묻는 창이 나타난다. 2. Open Session 메뉴Open Session 메뉴는 저장한 세션을 열 때 사용하며, 현재 세션을 저장하지 않고 세션을 열면 현재 세션의 모든 데이터를 잃게된다.3. Persist Session 메뉴Persist Session 메뉴는 현재 세션을 저장할 때 사용한다. 세션..

Infomation 2016.07.11

OWASP ZAP User Interface

기본적으로 ZAP 세션은 항상 디스크에 기록되며, ZAP는 HSQLDB(Hyper SQL Database)를 사용한다. HSQLDB는 간단하게 사용할 수 있는 순수 JAVA로 만들어진 DBMS다. OWASP ZAP를 시작하면 아래와 같이 ZAP 세션을 유지 여부를 묻는다. 세션을 유지하는 것을 선택한 경우 나중에에 액세스 할 수 있도록 세션 정보를 로컬 데이터베이스에 저장되고, 세션을 유지하지 않으면 ZAP를 종료 할 때, 해당 파일이 삭제된다. 여기서는 세션을 유지 하지 않고 사용할 예정이므로, 3번째 항목을 선택 한 후 [시작]을 클릭한다. 세션 유지 여부를 선택 하고 시작을 클릭하면, 아래와 같이 OWASP ZAP 화면이 나타난다. ① 메뉴바(Menu Bar) - 스캔 정책, Encode/Decod..

Infomation 2016.07.11

HTTP Methods 확인

Steps. 1. 개요 2. 테스트 방법 1. 개요 HTTP는 웹 서버의 동작하는 데 사용할 수있는 몇개의 메소드를 제공하며, 대부분은 배포 및 HTTP 응용 프로그램을 테스트하는 개발자를 지원하기 위해 설계 되었다. HTTP Method는 아래와 같다. ① GET Method : GET 요청 방식은 URI(URL)가 가진 정보를 검색하기 위해 서버 측에 요청하는형태이다. ② POST Method : POST 요청 방식은 요청 URI(URL)에 폼 입력을 처리하기 위해 구성한 서버 측 스크립트(ASP, PHP, JSP 등) 혹은 CGI 프로그램으로 구성되고 Form Action과 함께 전송되는데, 이때 헤더 정보에 포함되지 않고 데이터 부분에 요청 정보가 들어가게 된다. ③ HEAD Method : HE..

OWASP Zed Attack Proxy(ZAP) Install

OWASP Zed Attack Proxy(ZAP)를 설치해보자. 여기서는 Windows 버전 OWASP Zed Attack Proxy(ZAP)를 설치할 예정이다. ① 다운로드 받은 설치 파일을 실행 시킨다. [Next]를 클릭해서 설치를 진행 한다. ② [Next]를 클릭하면 라이센스 내용을 출력한다. 라이센스 내용을 확인하였다면, [I accept the agreement]를 선택 후 [Next]를 클릭하여 다음 단계로 넘어간다. ③ 설치하려는 경로를 선택 후 [Next]를 클릭하여 다음 단계로 넘어간다. ④ 다음은 시작 메뉴에 존재할 폴더명을 입력하는 메뉴가 나타난다. 여기서 원하는 문자를 입력 하거나 [Browse]를 클릭하여 특정 폴더를 선택한 후 [Next]를 클릭하여 다음 단계로 넘어간다. 만..

Infomation 2016.07.10

관리자 인터페이스 (페이지) 확인

Steps. 1. 개요 2. 테스트 방법 1. 개요 관리자 인터페이스는 어플리케이션 프로그램 또는 특정 사용자가 사이트에 특별한 활동을 할 수 있도록 어플리케이션 프로그램 서버에 존재 한다. 관리자 인터페이스는 아무나 접근해서는 안된다. 만약 관리자 인터페이스가 노출되어 공격자가 접근 할 수 있다면, 인증 우회, 무차별 대입 공격등을 이용하여, 관리자로 로그인이 가능하게 된다. 이러한 관리자 인터페이스는 인증되지 않은 접근으로로부터 보호하기 위한 충분한 제어를하지 않는 경우 많다. 2. 테스트 방법 관리자 인터페이스는 존재하지만, 테스터의 눈에는 보이지 않을 수 있다. 이런 경우 아래와 같은 방법으로 관리자 인터페이스를 찾아본다. 1. 가장 기본적으로 /admin, /administrator, /mana..