모바일 환경의 성장- 아이폰으로 시작된 스마트폰 열풍, 앱 다운 환경은 애플과 구글로 양분 모바일 보안 위협- 안드로이드, 개방적, 리패키징, 모바일 악성 앱 증가- 애플, 탈옥, 임의의 sw 설치 가능하게- 안드로이드, 루팅, 시스템 잠금을 해제해서 os 관리자 권한 얻기- 탈옥과 루팅 관련 정보가 공유되며 감염 급증 모바일 환경의 위협 요소- OWASP 모바일 top 10 위험 기준 분석 결과- M1 적절하지 않은 플랫폼 사용 - M2 안전하지 않은 데이터 저장 , 암호화된 보호가 무력화되는 루팅 탈옥 분실 도난 - 공유환경설정x- M3 안전하지 않은 통신 , 데이터 유출이 쉬움- M4 안전하지 않은 인증 , 자동화된 툴로 공격, 입력폼- M5 불충분한 암호화 , 암호화 부족, 물리적 접근 후 복호화..
[ Computer Security ]/Web Security
보안 정책의 필요성- 저마다 환경에 맞는 보안 정책을 수립하기 시작 보안 정책의 구조- 정책- 지침- 절차 - 정책에 준하는 문서 = 규정- 지침에 해당하는 문서 = 세칙과 지침 보안 정책의 구분- regulatory - 규칙으로 지켜야 하는- advisory - 참고하거나 지키도록 권유하는- informative - 정보나 사실을 알리고자 하는 보안 수준에 따른 정책의 구분- security policy 상위 관리자가 만든 보안 관련 일반 내용 기술 5페이지- standards 일반적인 표준 절차- baselines 가장 기본적인 보안 수준- guidelines 특정 상황에 대한 충고와 방향 , standards 없을 때 참고- procedures 가장 하위 문서로 각 절차의 세부 내용 보안정책의 주..
윈도우에서 웹 서버 구축하기IIS internet information server 웹 서버 관리 프로그램 설치 - 제어판 - 프로그램 및 기능 - 윈도우즈 기능 켜기 끄기- 가상 디렉토리 추가 - root 하위에 별칭 생성하고 실제 경로 확인- 구축한 웹서버에 접속할 때는 ip주소/디렉토리명- 디렉토리 검색 기능 활성화하면 내부 파일 리스트 확인 가능, 비활성화 권장- 방화벽 설정, 웹 포트 80번 열기 웹 서버 보안 - 사용하지 않는 기본 문서 제거하기( 가장 윗쪽에 있는 파일인 기본 문서를 불러오는 웹 사이트, default.htm default.asp index.htm index.html iisstart.htm default.aspx 순서대로 읽음 )- 기본 문서 순서 확인하기- 디렉토리 검색 기..
웹 보안의 기본 요소 가상 머신 프로그램 - 물리적 기기 안에 가상으로 만들어진.- 가상 기기 내의 소프트웨어는 하나의 물리적 기기를 사용하고 있다고 생각 패스워드- 가장 널리 사용되는 기본적인 사용자 인증 방식- ROT 13 고전 암호의 한 종류, 시저 암호- ROT 18 모든 문자 숫자 치환 가능- ROT 47 모든 아스키 문자 치환 가능- 패스워드 관리 프로그램 : 사용자가 보유한 고유의 비밀번호를 안전한 장소에 보관하고 하나의 마스터 비밀번호로 암호화 (keepass 오픈 소스 패스워드 관리 프로그램, db는 가장 안전한 암호화 알고리즘 사용해서 암호화) 공동인증서 - 전자서명의 검증에 필요한 공개키에 소유자 정보를 추가해서 만든 전자 신분증- 패스워드 인증 메커니즘보다 한 단계 강화- 공개키와 ..
1. 문제 소개드림핵의 409번. session-basic https://dreamhack.io/wargame/challenges/409 devtools-sources개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{...} 입니다. Reference Tools: Browser DevToolsdreamhack.io 쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. 플래그 형식은 DH{...} 입니다. 2. 풀이 방법이 문제는 내가 처음 풀어본 워게임 문제이다 문제와 해설 하단에 있는 접속 정보에서 서버 생성부터 해줘야한다시간이 조금만 지나면 웹해킹 문제 링크가 생성되는데 잠깐이지만 기..
1. 문제 소개드림핵의 267번. devtools-sources https://dreamhack.io/wargame/challenges/267 devtools-sources개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{...} 입니다. Reference Tools: Browser DevToolsdreamhack.io 개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요. 플래그 형식은 DH{...} 입니다. 2. 풀이 방법워게임 문제를 두문제 정도 풀어본 왕초보였을 때 푼 문제이다 어떻게 풀어야하는지 전혀 감을 잡을 수 없었다 문제 파일을 다운 받고 압축을 해제한다 생각보다 많은 파일이 들어있었는데 index.html 을 vs code가 아닌 브라우저..
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. SNS 발전과 관련된 인터넷 기술2. 진짜 사이트와 거의 동일하게 며진 가짜 사이트를 이메일 또는 링크로 보내서 개인 정보를 탈취하는 공격은 피싱3. 악성 소프트웨어 종류로 중요 파일을 암호화한 뒤 돈을 주면 파일의 암호를 풀어주는 악성 소프트웨어는 랜섬웨어4. 소셜 네트워크에서 악의적인 사용자가 지인 또는 특정 유명인으로 가장하여 활동하는 공격 기법은 이블 트윈 어택5. 웹 2.06. 피싱 공격에 대한 대응 방안7. 사이버 폭력에 대한 대응 방안
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 2008년에 구글에서 공개한 웹 브라우저로 현재 가장 많이 사용되고 있는 것은 크롬2. 마이크로소프트에서 인터넷 익스플로러를 대체하기 위해 개발한 것은 엣지3. burp suite에서 특정 작업을 반복적으로 하기 위해 사용하는 기능은 repeater4. 웹 취약점 스캐너의 대표적인 툴로써 오픈 소스로 모든 기능을 이용할 수 있는 툴은 ??5. 브라우저의 개발자 도구를 통해 수행할 수 있는 기능6. burp suite에서 사용되는 intruder와 repeater의 기능
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 웹 애플리케이션 취약점 진단 방법 중에서 개발된 소스코드를 직접 보고 취약점을 찾는 방식은 Black Box Testing 2. 웹 애플리케이션에서 가장 빈번하게 발생하는 취약점은 입력 데이터 검증 미흡 3. 행정안전부의 소프트웨어 개발 보안 가이드와 OWASP top 10의 버전 간 항목 매핑- 입력 데이터 검증 및 표현 - A3 인젝션, A10 서버 사이트 요청 변조 SSRF, A4 안전하지 않은 설계- 보안 기능 - A1 잘못된 접근 통제, A5 보안 설정 오류, A7 식별 및 인증 실패, A8 소프트웨어와 데이터 무결성 실패, A9 보안 로그 및 모니터링 실패- 캡슐화 - A2 암호화 오류- API 오용 - A6 취약하거나 오래된 컴포넌트 4. 입력값..
인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 웹 사이트에서 개인을 구별하기 위해 만든 것으로 클라이언트 측에 저장해두는 것은 쿠키 2. XSS는 Cross Site Scripting 의 약자다 3. XSS 공격을 통해 공격자가 일차적으로 얻고자 하는 정보는 사용자가 웹 서버로 전송하는 고유 쿠키 값 정보 4. CSRF는 Cross Site Request Forgery 의 약자다 5. XSS 취약점을 찾는 방법 중 하나인 스크립트 검증 예시로 사용되는 코드">">alert(document.cookie)"%3e%3cscript%3ealert(document.cookie)%3c/script%3e">%00"> 6. XSS 공격- 사용자가 조회하는 웹 페이지에 스크립트를 삽입하는 간단한 방식이지만 웹 애플리케이..
