Security Story

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

XSS 모의해킹 실습 정리7번개발자가 의도하지 않은 alert나 console.log 함수를 실행하여 문제를 해결한다.일단 문제를 들어가면 위의 그림과 같이 나오는데 구매 버튼을 클릭해본다. Enter your credit card number에 입력된 카드 번호가 그대로 응답이 되고 있다. XSS는 공격 구문을 포함하여 보낸 요청 서버에서 그대로 응답 본문에 추가할 때 주로 발생되는 취약점으로 아래와 같이 구문을 포함하여 공격한다.Enter your credit cared number 입력칸에 "" 와 같이 script 태그를 이용해 alert(1) 함수를 실행하는 공격 구문을 추가한 후 구매 버튼을 클릭하면 XSS 공격에 성공하여 개발자가 의도하지 않은 alert(1)이 실행된다. 10번이번 문제는 ..

Internet of Things(IoT)사물인터넷은 디바이스들에 네트워크 연결 기능을 내장하여 사람과 사물, 사물과 사물 등을 인터넷에 연결하여 무선 네트워크를 통해 사물을 연결하여 통신하는 기술. 네트워크를 통해 통신 가능한 모든 디바이스를 일컫는다. 네트워크가 가능한 무선 센서모바일 장비홈 네트워크에 사용되는 디바이스웨어 러블 디바이스 -> 각각 고유의 IP Address를 통해 인터넷에 연결되고 있음 대부분 이러한 사물인터넷 디바이스들은 24시간 네 트워크에 연결되어 있고, 기존 PC나 모바일 디바이스와 다르게 메모리나 파워, 연산 능력 등에 한계를 지니고 있어 쉽게 해킹 대상으로 노출되고 있다.  발생 가능한 보안 취약점1. 현재까지 대부분의 사물인터넷 디바이스들은 리눅스 운영체제 기반에서 적절..

보호되어 있는 글입니다.

RULE 백업AWS WAF v2 에서 새롭게 제공되는 Rule 설정 방식인 JSON 기반 Rule 생성에 관한 실습이다.간단한 Rule은 AWS 콘솔의 Rule visual editor를 사용하는 것이 가장 간편한 방법이지만, 모든 웹 ACL에는 JSON 형식 표현이 있다.복잡한 규칙의 경우 JSON 편집기를 사용하여 웹 ACL을 관리하는 것이 가장 쉬운 방법JSON 형식의 웹 ACL에 대한 전체 구성을 검색하고 필요에 따라 수정한 다음, 콘솔, API 또는 CLI를 통해 제공새로운 Rule을 작성해보기 전에 현재까지 생성된 Rule 을 JSON 기반 문서로 백업해야 한다.기존의 Rule을 다운로드하기 위하여 Web ACL 의 화면 우측 상단의 “Download web ACL as JSON” 버튼을 클릭..

참고자료https://sessin.github.io/awswafhol/overview.html AWS WAF Workshop실습 개요 본 실습에서는 웹 공격에 취약하도록 의도된 web application ( DVWA ) 에서 AWS WAF 를 통해 웹 공격을 차단하는 방법에 대해 익혀봅니다. 실습은 약 1시간에서 1시간 반 정도 소요되며 크게 5sessin.github.io Custom Rule 추가 1AWS WAF 에서 제공하는 국가별 IP 정보를 기준으로 특정 국가에서 유입되는 트래픽을 차단하는 실습이다.차단 설정을 하기에 앞서 사용자의 PC 에서 발생하는 트래픽이 특정 국가에서 발생되는 것처럼 환경을 설정하기 위하여 Chrome Extension 을 사용한다.   크롬 브라우저에서 Browsec ..

보호되어 있는 글입니다.

무차별 입력 공격특정한 암호를 알아내기 위해 공격자가 모든 무작위 값들의 조합을 반복적으로 입력함으로써 해킹을 시도하는 공격 유형1. 크리덴셜 재활용이전에 확보한 사용자 이름과 비밀번호를 이용하는 공격 방법 2. 사전 공격 비밀번호에 이름, 도시, 사물 등의 단어를 사용하는 사람이 많다는 것을 이용하여 사전의 단어를 이용한 무차별 암호 대입 공격 3. 역방향 무차별 암호 대입 공격차별 암호 대입 공격을 역방향으로 시도하는 방식. 하나의 계정에 여러 비밀번호를 입력하는 무차별 암호 대입 공격과 달리, 역방향 무차별 암호 대입 공격은 하나의 비밀번호를 여러 계정에 입력한다.  AWS WAF를 활용한 무차별 입력 공격 실습은 서비스가 종료되었기 때문에 사용자 정의 규칙을 활용한 방어 실습만 진행하였다.    ..