Security Story

AWS 아키텍처지금까지 실습한 AWS 아키텍처를 정리하면 아래와 같다.AWS 클라우드 상에서 DVWA 서버를 호스팅하기 위해 구성된 네트워크 환경CloudFormation stack을 통한 아키텍처를 구축 전체적인 흐름1. CloudFormation을 통한 아키텍처 구축  2. 실습자의 노트북에서 인터넷을 통해 DVWA 서버에 접근  3. 트래픽은 ALB를 거쳐 DVWA 서버로 전달되며, 이 과정에서 WAF가 악의적인 요청을 필터링  4. WAF의 로그는 Kinesis Firehose를 통해 S3 버킷에 저장되어 분석 가능 아키텍처 구성VPC(Virtual Private Cloud)독립적인 가상의 네트워크 공간으로 사용자의 설정에 따라 자유롭게 구성할 수 있는 공간사용자는 서브넷 생성, 라우팅 테이블, ..

RULE 백업AWS WAF v2 에서 새롭게 제공되는 Rule 설정 방식인 JSON 기반 Rule 생성에 관한 실습이다.간단한 Rule은 AWS 콘솔의 Rule visual editor를 사용하는 것이 가장 간편한 방법이지만, 모든 웹 ACL에는 JSON 형식 표현이 있다.복잡한 규칙의 경우 JSON 편집기를 사용하여 웹 ACL을 관리하는 것이 가장 쉬운 방법JSON 형식의 웹 ACL에 대한 전체 구성을 검색하고 필요에 따라 수정한 다음, 콘솔, API 또는 CLI를 통해 제공새로운 Rule을 작성해보기 전에 현재까지 생성된 Rule 을 JSON 기반 문서로 백업해야 한다.기존의 Rule을 다운로드하기 위하여 Web ACL 의 화면 우측 상단의 “Download web ACL as JSON” 버튼을 클릭..

참고자료https://sessin.github.io/awswafhol/overview.html AWS WAF Workshop실습 개요 본 실습에서는 웹 공격에 취약하도록 의도된 web application ( DVWA ) 에서 AWS WAF 를 통해 웹 공격을 차단하는 방법에 대해 익혀봅니다. 실습은 약 1시간에서 1시간 반 정도 소요되며 크게 5sessin.github.io Custom Rule 추가 1AWS WAF 에서 제공하는 국가별 IP 정보를 기준으로 특정 국가에서 유입되는 트래픽을 차단하는 실습이다.차단 설정을 하기에 앞서 사용자의 PC 에서 발생하는 트래픽이 특정 국가에서 발생되는 것처럼 환경을 설정하기 위하여 Chrome Extension 을 사용한다.   크롬 브라우저에서 Browsec ..

무차별 입력 공격특정한 암호를 알아내기 위해 공격자가 모든 무작위 값들의 조합을 반복적으로 입력함으로써 해킹을 시도하는 공격 유형1. 크리덴셜 재활용이전에 확보한 사용자 이름과 비밀번호를 이용하는 공격 방법 2. 사전 공격 비밀번호에 이름, 도시, 사물 등의 단어를 사용하는 사람이 많다는 것을 이용하여 사전의 단어를 이용한 무차별 암호 대입 공격 3. 역방향 무차별 암호 대입 공격차별 암호 대입 공격을 역방향으로 시도하는 방식. 하나의 계정에 여러 비밀번호를 입력하는 무차별 암호 대입 공격과 달리, 역방향 무차별 암호 대입 공격은 하나의 비밀번호를 여러 계정에 입력한다.  AWS WAF를 활용한 무차별 입력 공격 실습은 서비스가 종료되었기 때문에 사용자 정의 규칙을 활용한 방어 실습만 진행하였다.    ..

Backdoor 공격백도어 시스템에 액세스하기 위한 정상적인 인증 절차를 무효화하는 우회 접근 유형  백도어 공격 악의적으로 시스템의 백도어를 통해 컴퓨터 시스템이나 암호화된 데이터에 액세스하는 방법 -> 데이터베이스 및 파일 서버와 같은 애플리케이션 내의 리소스에 대한 원격 액세스 권한이 부여되어 원격으로 시스템 명령을 내리고 멀웨어를 업데이트할 수 있다.  유형관리 백도어: 소프트웨어 개발자가 자체 시스템의 다양한 영역에 쉽게 관리 액세스 할 수 있도록 프로그램에 백도어를 포함악성 백도어: 악의적인 목적으로 사이버 범죄자에 의해 만들어진 백도어. 표적 피싱 이메일을 통해 백도어 멀웨어를 설치하는 것 포함우발적 백도어: 인터넷 보안 시스템에 취약점을 남겨두면 오랜 시간 동안 탐지되지 않을 수 있는데 악..

Command Injection 공격어플리케이션에 운영체제 명령어(Shell Script)를 실행하는 기능이 존재하는 경우, 외부 입력값을 검증, 제한하지 않고 운영체제 명령어 또는 운영체제 명령어의 일부로 사용하는 경우 발생한다. 이 경우 어플리케이션이 올라간 운영체제를 공격자가 직접적으로 제어할 수 있게 된다. 동작 방식1단계악의적인 운영 체제 명령을 실행할 수 있는 애플리케이션 취약점 찾기 2단계응용 프로그램이 호스트 운영 체제에서 원하는 작업을 실행하도록 명령을 설계일반적으로 HTML 코드, 쿠키 등의 입력 매커니즘을 사용해 애플리케이션에 삽입 3단계브라우저는 명령을 해석하고 호스트의 운영체제 명령으로 변환위협 행위자는 호스트 시스템과 감염된 시스템의 네트워크에서 특정 명령 실행 가능 유형1. 직..

SQL Injection 공격SQL이란?관계형 데이터베이스에 정보를 저장하고 처리하기 위한 프로그래밍 언어이다.  SQL Injection이란?웹 애플리케이션과 데이터베이스 간의 연동에서 발생하는 취약점으로, 공격자가 입력 폼에 악의적으로 조작된 쿼리를 삽입하여 데이터베이스 정보를 불법적으로 열람하거나 조작할 수 있는 취약점  공격 유형1. Error based SQL Injection: 논리적 에러를 활용한 SQL 인젝션인증 우회를 위해 논리적 에러를 유도하는 방식의 공격 기법이다.  2. Union SQL Injection: UNION 명령어를 활용한 SQL 인젝션공격자가 추가적인 쿼리를 삽입하여 정보를 획득하는 기법으로, UNION 명령어를 이용하여 여러 쿼리를 합치는 방식을 이용한다. 3. Bli..

Stored XSS(저장 XSS, 영구적 XSS)공격자가 공격 스크립트를 웹사이트에 저장해두거나 게시판 등의 게시글 등에 저장해둔 후 사용자가 해당 페이지에 접속하거나 게시글을 클릭하였을 경우 실행되도록 하는 공격이다. 공격자가 페이로드를 전송한 뒤 다수의 피해자가 해당 페이지에 접속하면 XSS 공격에 노출일대다 공격 가능반사 XSS와 영구 XSS 모두 위험하고 두 공격이 동시에 일어날 수 있음 특정 페이지에 삽입된 페이로드를 통한 XSS도 가능1. 공격자가 게시물에 악성 스크립트를 삽입2. 피해자가 게시물을 클릭하면 공격자의 자바스크립트가 포함된 응답이 전송3. 브라우저에서 공격 스크립트가 실행되면 공격자는 피해자의 쿠키, 세션 등의 정보를 얻을 수 있음   Stored XSS 공격 실습DVWA 에 접..

XSS 공격웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 이를 통해  사용자의 정보(쿠키, 세션 등)를 탈취하거나 웹사이트 변조, 피싱 공격 등을 할 수 있다.   Reflected XSS(반사 XSS)사용자가 입력한 URL 이나 Parameter , Cookie 등을 기반으로 스크립트가 실행되도록 하는 공격이다.한 번의 HTTP 요청과 응답에서 행해지는 XSS로 어떠한 정보도 저장되지 않음어떤 공격 페이로드나 검색어를 이용하든 각 경우마다 새로운 결과 페이지를 생성-> 결과적으로 공격자가 생성해 놓은 링크를 피해자가 클릭하게 유도하는 방식! 기본적으로 URL의 CGI 인자에 Script Code를 삽입하는 것이다...

DVWA 설치위협 요인이 내재된 환경을 구성하기 위해 CloudFormation을 실행한다. CloudFormation을 통해 다음과 같은 AWS 리소스가 생성된다. 1. AWS 리전 확인AWS 관리 콘솔로 들어가서 AWS 서울 리전을 선택하였다. 2. EC2 키페어 생성EC2 키페어는 EC2인스턴스 생성을 위해 필요한 항목이므로, CloudFormation 템플릿을 실행하기에 앞서 EC2 키페어를 생성한다.  3. Cloud Formation 템플릿 실행CloudFormation Stack을 생성하였다. 조금 기다리니까 CREATE_COMPLETE라고 상태가 변경되며 생성이 완료되었다!   DVWA 확인1.DVWA 웹 페이지 접속 확인DVWA 스택이 정상적으로 생성되었다면 템플릿을 통하여 생성된 DVW..