전체 글 썸네일형 리스트형 인증, 인가 세션관리 쿠키 사용자의 브라우저에 저장되는 작은 데이터 조각으로, 세션 ID와 같은 사용자를 식별하는 정보를 담고 있다 사용자가 웹사이트에 로그인하면 그 사이트는 쿠키에 사용자의 로그인 정보를 저장하여 다음 방문 시 자동으로 로그인핟록 할 수 있음 세션 세션은 서버 측에서 사용자 정보를 저장하는 방법 세션 ID가 사용자의 브라우저에 저장되고 이 ID는 서버에서 사용자의 세션 데이터를 조회하는데 사용 사용자의 정보가 서버에 저장되고 클라이언트에는 세션 ID만 저장되어 쿠키보다 보안적으로 우수 쿠키 탈취 문제 -> 세션 하이재킹(MITM) : 사용자 세션을 탈취하는 공격 방법으로 탈취한 세션 ID 사용자인것처럼 사용 MFA(Multi-Factor Authentication) Bypass : 휴대폰 인증, 지.. 더보기 next.js 1 더보기 KISA: 멀웨어 식별훈련 더보기 워터링홀 공격 시나리오(cve-2016-0189) 워터링홀이란? : 사자가 물 웅덩이에서 먹이를 기다리는 것과 같이 공격 대상이 자주 방문하는 사이트를 해킹한 뒤 희생자가 접속하면 공격하는 기법이다. 워터링 홀 공격 요소 - 웹에서 동작하는 다양한 엔진들의 취약점을 이용 XSS 취약점(게시판, 댓글 작성, 악성 페이지로 리다이렉트..) 인터넷 브라우저 취약점(스크립트 엔진의 취약점) Server Side Template Injection(SSTI) 공격자가 서버 측의 기본 템플릿 구문을 이용하여 악성 페이로드를 삽입한 후 서버 측에 실행되면서 생기는 취약점 cve-2016-0189 : VBScript엔진이 소스코드를 처리하는 과정에 메모리를 손상시켜 임의의 코드를 실행시키는 취약점 미션소개 사용자 단말에서 악성행위가 발생한다는 보고를 받음 침해사고를 파.. 더보기 악성코드 감염 시나리오(Ethernalblue) Ethernalblue : 미 국가안보국 해킹 도구로 윈도우 환경에서 파일공유, 원격 윈도우 서비스 접근, 프린트 공유 등을 목적으로 하는 SMB 프로토콜의 원격 코드 실행 취약점을 이용 미션 소개 내부망에서 침해사고가 발생했으며 내부 침투에는 Eternalblue 공격이 특정되었다. 공격 패턴 특징 : '00 00 00 00 00 00 00 10'값을 전송 구성도 보안장비 - UTM, WAF 관리 - AdminConsole 업무 - User1, user2 DMZ - 파일서버, 웹 서버 시나리오 1. 악성코드 첨부 메일 발송 2. 악성코드 다운로드 3. 실행 4. 리버스 쉘 5. Ethernal blue 공격 공격자의 메일 주소는? [메일 서버에서 확인] 악성코드 감염 악성코드가 통신한 IP는? 작업관리.. 더보기 인프라 구축 시나리오 미션 소개 정보보호제품을 활용하여 아래 요건을 만족하는 인프라 구축하기 - 제시된 구성하기 위한 UTM 설정 및 정책 적용 - 제시된 구성하기 위한 WAF 설정 및 정책 적용 외부 -> DMZ로 접근 가능(WAF 통해서) 외부 -> 업무로 접근 불가능 DMZ -> 외부로 접근 불가능 DMZ -> 업무로 접근 불가능 업무 ->DMZ 접근 가능 업무 -> 외부 접근 가능 관리 -> ANY 접근 불가능(UTM, WAF만 가능) ANY -> 관리 불가능 UTM IPS 기능 차단 동작 하도록 설정 웹서버는 WAF를 거치도록 설정 [UTM] 시스템 > 인터페이스 설정(eth0,eth1, eth2, eth3) + 시스템 점검 도구에서 ping test하기 라우팅 설정 > 정적 라우팅 추가 : 외부망으로 나가는 경우 .. 더보기 SQL 인젝션, command 인젝션 WAF 정책 설정 SQL 인젝션 - 특수문자(', ;, ) 등을 근거로 탐지 [AdminConsole] 공격자 pc로 인젝션 공격 후 WAF에서 로그 검색 - 도메인별 정책 > sql 인젝션에서 차단으로 적용 Command injection - exec(), 시스템 명령어(ls, rm..) 등을 근거로 탐지 [AdminConsole] 공격자 pc에서 url에 시스템 명령어를 작성하고 요청한 후 WAF에서 탐지 로그 검색 탐지룰 제작 정책설정 > 도메인별 정책 > 사용자 정의 탐지 > 룰추가 패턴 추가 = ls|cat|ifconfig|chmod) ; & 탐지 확인 더보기 hfs rejetto 공격 탐지 및 차단(cve-1014-6287) 구성도 외부 - 공격자, public-PC DMZ - WAF, 웹서버, 파일서버 보안 장비 - UTM, AdminConsole 업무 pc - user1,user2 - 공격자가 UTM을 우회하여 파일서버에 접근 HFS(Http File Server) : 파일을 게시하고 공유하도록 설계된 자유 웹서버다. 내부에서 원격 명령 실행이 가능하다. 검색 부분에 [localhost:80/?search-%00{.exec|cmd.}를 입력 시 발생] [공격자 pc] 접속하여 파일서버 열기 > 공격자 pc 브라우저에서 파일 서버에 접속 검색 url에 exe뒤 원하는 명령어를 실행하면 파일서버에서 해당 명령이 실행된다. IPS 룰셋을 추가하여 공격자의 공격을 탐지 및 차단 [AdminConsole] IPS > 보호대상 추가.. 더보기 이전 1 ··· 3 4 5 6 7 8 9 ··· 38 다음
