[ Computer Security ]/Web Security14 [웹보안] 모바일 보안 모바일 환경의 성장- 아이폰으로 시작된 스마트폰 열풍, 앱 다운 환경은 애플과 구글로 양분 모바일 보안 위협- 안드로이드, 개방적, 리패키징, 모바일 악성 앱 증가- 애플, 탈옥, 임의의 sw 설치 가능하게- 안드로이드, 루팅, 시스템 잠금을 해제해서 os 관리자 권한 얻기- 탈옥과 루팅 관련 정보가 공유되며 감염 급증 모바일 환경의 위협 요소- OWASP 모바일 top 10 위험 기준 분석 결과- M1 적절하지 않은 플랫폼 사용 - M2 안전하지 않은 데이터 저장 , 암호화된 보호가 무력화되는 루팅 탈옥 분실 도난 - 공유환경설정x- M3 안전하지 않은 통신 , 데이터 유출이 쉬움- M4 안전하지 않은 인증 , 자동화된 툴로 공격, 입력폼- M5 불충분한 암호화 , 암호화 부족, 물리적 접근 후 복호화.. 2024. 8. 26. [웹보안] 웹 보안 정책, 조직, 솔루션 보안 정책의 필요성- 저마다 환경에 맞는 보안 정책을 수립하기 시작 보안 정책의 구조- 정책- 지침- 절차 - 정책에 준하는 문서 = 규정- 지침에 해당하는 문서 = 세칙과 지침 보안 정책의 구분- regulatory - 규칙으로 지켜야 하는- advisory - 참고하거나 지키도록 권유하는- informative - 정보나 사실을 알리고자 하는 보안 수준에 따른 정책의 구분- security policy 상위 관리자가 만든 보안 관련 일반 내용 기술 5페이지- standards 일반적인 표준 절차- baselines 가장 기본적인 보안 수준- guidelines 특정 상황에 대한 충고와 방향 , standards 없을 때 참고- procedures 가장 하위 문서로 각 절차의 세부 내용 보안정책의 주.. 2024. 8. 26. [웹보안] 웹 서버 보안 윈도우에서 웹 서버 구축하기IIS internet information server 웹 서버 관리 프로그램 설치 - 제어판 - 프로그램 및 기능 - 윈도우즈 기능 켜기 끄기- 가상 디렉토리 추가 - root 하위에 별칭 생성하고 실제 경로 확인- 구축한 웹서버에 접속할 때는 ip주소/디렉토리명- 디렉토리 검색 기능 활성화하면 내부 파일 리스트 확인 가능, 비활성화 권장- 방화벽 설정, 웹 포트 80번 열기 웹 서버 보안 - 사용하지 않는 기본 문서 제거하기( 가장 윗쪽에 있는 파일인 기본 문서를 불러오는 웹 사이트, default.htm default.asp index.htm index.html iisstart.htm default.aspx 순서대로 읽음 )- 기본 문서 순서 확인하기- 디렉토리 검색 기.. 2024. 8. 26. [웹보안] 웹 보안의 기본 요소 웹 보안의 기본 요소 가상 머신 프로그램 - 물리적 기기 안에 가상으로 만들어진.- 가상 기기 내의 소프트웨어는 하나의 물리적 기기를 사용하고 있다고 생각 패스워드- 가장 널리 사용되는 기본적인 사용자 인증 방식- ROT 13 고전 암호의 한 종류, 시저 암호- ROT 18 모든 문자 숫자 치환 가능- ROT 47 모든 아스키 문자 치환 가능- 패스워드 관리 프로그램 : 사용자가 보유한 고유의 비밀번호를 안전한 장소에 보관하고 하나의 마스터 비밀번호로 암호화 (keepass 오픈 소스 패스워드 관리 프로그램, db는 가장 안전한 암호화 알고리즘 사용해서 암호화) 공동인증서 - 전자서명의 검증에 필요한 공개키에 소유자 정보를 추가해서 만든 전자 신분증- 패스워드 인증 메커니즘보다 한 단계 강화- 공개키와 .. 2024. 8. 26. [워게임/웹해킹] Dreamhack 409 . session-basic 1. 문제 소개드림핵의 409번. session-basic https://dreamhack.io/wargame/challenges/409 devtools-sources개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{...} 입니다. Reference Tools: Browser DevToolsdreamhack.io 쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. 플래그 형식은 DH{...} 입니다. 2. 풀이 방법이 문제는 내가 처음 풀어본 워게임 문제이다 문제와 해설 하단에 있는 접속 정보에서 서버 생성부터 해줘야한다시간이 조금만 지나면 웹해킹 문제 링크가 생성되는데 잠깐이지만 기.. 2024. 5. 11. [워게임/웹해킹] Dreamhack 267 . devtools-sources 1. 문제 소개드림핵의 267번. devtools-sources https://dreamhack.io/wargame/challenges/267 devtools-sources개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{...} 입니다. Reference Tools: Browser DevToolsdreamhack.io 개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{...} 입니다. 2. 풀이 방법워게임 문제를 두문제 정도 풀어본 왕초보였을 때 푼 문제이다 어떻게 풀어야하는지 전혀 감을 잡을 수 없었다 문제 파일을 다운 받고 압축을 해제한다 생각보다 많은 파일이 들어있었는데 index.html 을 vs code가 아닌 브라우저.. 2024. 5. 11. 이전 1 2 3 다음 728x90
