기록하는 공부

문제 풀이 사이트사이트 간략 소개 아래 사이트는 SQL Injection을 풀이할 수 있는 문제 사이트로 순차적으로 풀이하는 사이트이다.SQL Injection 문제풀이를 원하는 경우 추천한다. https://los.rubiya.kr/  Lord of SQLInjection los.rubiya.kr  사이트 회원가입/로그인 절차 1. 메인 페이지에서 [enter to the dungeon]을 클릭한다.  2. "Join"을 누르고 회원가입을 진행한다.     id, email, pw만 입력하면 가입 완료가 된다.  3. 회원가입을 완료한 이후 id, pw를 입력하여 로그인을 진행한다.  4. 풀이가 가능한 SQL Injection 문제들이 있으며, 위에서부터 순차적으로 풀이를 진행할 수 있다.      ..

정보보안/Web Hacking 2024. 8. 23. 14:32

뉴스 요약 18년 만에 공공망 분리 제도 변경 예정기존: 외부 인터넷망과 내부 업무망을 분리해 사용 -> 업무 효율이 떨어지고 데이터를 옮기는 것 어려움변경예정: 데이터 중요도에 따라 내·외부망을 논리적으로 분리하거나 보안 시스템이 제대로 작동되는 조건에서 외부 접근을 허용해 주는 방식 등이 허용될 예정기대효과: 공공 데이터를 활용한 인공지능(AI) 서비스 개발 활발, 클라우드 보안 등 정보보호 서비스 수요 증가       리뷰 망분리: 외부 인터넷망과 내부 업무망을 분리하는 것구분단일망(망분리x)논리적 망분리물리적 망분리개념1개의 PC를 외부망과  내부망에서 자유롭게 사용하는 방법 물리적인 네트워크는 하나지만, 소프트웨어적으로 네트워크를 분리하는 방법 별도의 물리적 장비를 사용해 내부망과 외부망을 완..

정보보안/IT 및 보안 뉴스 2024. 8. 12. 17:01

CSLF Injection HTTP 메시지에서는 줄 바꿈을 나타내기 위해서 CR(Carriage Return ,\r)과 LF(Line Feed, \n)라는 특수문자를 사용한다. 이 특수문자를 묶어 CRLF와 같이 함께 사용하는데 CRLF는 메시지의 각 라인이 끝임을 알려주는 중요한 구분자가 된다. 특히, HTTP 메시지에서 헤더와 바디가 구분될 때 빈 줄에는 CRLFCRLF처럼 CRLF가 두 번 사용된다. 이름 아스키 코드 URL 인코딩 문자 CR( Carriage Return) ASCII 13 %0D \r LF(Line Feed) ASCII 10 %0A \n CSLF 인젝션 정의 CRLF 인젝션 : 악의적인 사용자가 웹 애플리케이션에 특수한 개행 문자를 삽입하여 웹 서버와 클라이언트 간의 통신 흐름을 ..

정보보안/보안 공부 2024. 2. 1. 23:18

점검내용 숨김 파일 및 디렉터리 내 의심스러운 파일 존재 여부 점검 점검목적 숨겨진 파일 및 디렉터리 중 의심스러운 내용은 정상 사용자가 아닌 공격자에 의해 생성되었을 가능성이 높음으로 이를 발견하여 제거함 보안위협 공격자는 숨겨진 파일 및 디렉터리를 통해 시스템 정보 습득, 파일 임의 변경 등을 할 수 있음 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 ■ 판단기준 양호 : 불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 삭제한 경우 취약 : 불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 방치한 경우 ■ 조치방법 : ls –al 명령어로 숨겨진 파일 존재 파악 후 불법적이거나 의심스러운 파일을 삭제함 점검 및 조치 사례 OS별 점검 파일 위치 및 점검 방법 ..

정보보안/주요정보통신기반시설가이드 2024. 1. 31. 21:26

점검내용 사용자 계정과 홈 디렉터리의 일치 여부를 점검 점검목적 /home 이외 사용자의 홈 디렉터리 존재 여부를 점검하여 비인가자가 시스템 명령어의 무단 사용을 방지하기 위함 보안위협 passwd 파일에 설정된 홈디렉터리가 존재하지 않는 경우, 해당 계정으로 로 그인 시 홈디렉터리가 루트 디렉터리(“/“)로 할당되어 접근이 가능함 참고 홈디렉터리 : 사용자가 로그인한 후 작업을 수행하는 디렉터리 일반 사용자의 홈 디렉터리 위치 : /home/user명 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 ■ 판단기준 양호 : 홈 디렉터리가 존재하지 않는 계정이 발견되지 않는 경우 취약 : 홈 디렉터리가 존재하지 않는 계정이 발견된 경우 ■ 조치방법 : 홈 디렉터리가 존재..

정보보안/주요정보통신기반시설가이드 2024. 1. 31. 21:20

점검내용 홈 디렉터리의 소유자 외 타 사용자가 해당 홈 디렉터리를 수정할 수 없도록 제한하는지 점검 점검목적 사용자 홈 디렉터리 내 설정파일이 비인가자에 의한 변조를 방지함 보안위협 홈 디렉터리 내 설정파일 변조 시 정상적인 서비스 이용이 제한될 우려가 존재함 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 ■ 판단기준 양호 : 홈 디렉터리 소유자가 해당 계정이고, 타 사용자 쓰기 권한이 제거된 경우 취약 : 홈 디렉터리 소유자가 해당 계정이 아니고, 타 사용자 쓰기 권한이 부여된 경우 ■ 조치방법 사용자별 홈 디렉터리 소유주를 해당 계정으로 변경하고, 타 사용자의 쓰기 권한 제거 (“/etc/passwd” 파일에서 홈 디렉터리 확인, 사용자 홈 디렉터리 외 개별적으..

정보보안/주요정보통신기반시설가이드 2024. 1. 31. 21:13

점검내용 시스템 UMASK 값이 022 이상인지 점검 점검목적 잘못 설정된 UMASK 값으로 인해 신규 파일에 대한 과도한 권한 부여되는 것을 방지하기 위함 보안위협 잘못된 UMASK 값으로 인해 파일 및 디렉터리 생성 시 과도하게 퍼미션이 부여될 수 있음 참고 시스템 내에서 사용자가 새로 생성하는 파일의 접근권한은 UMASK 값에 따라 정해지며, 계정의 Start Profile 에 명령을 추가하면 사용자가 로그인 한 후에도 변경된 UMASK 값을 적용받게 됨 Start Profile : /etc/profile, /etc/default/login, .cshrc, .kshrc, .bashrc, .login, .profile 등 umask : 파일 및 디렉터리 생성 시 기본 퍼미션을 지정해 주는 명령어 점검..

정보보안/주요정보통신기반시설가이드 2024. 1. 31. 21:01

점검내용 /etc/hosts.lpd 파일의 삭제 및 권한 적절성 점검 점검목적 비인가자의 임의적인 hosts.lpd 변조를 막기 위해 hosts.lpd 파일 삭제 또는 소유자 및 권한 관리를 해야 함 보안위협 hosts.lpd 파일의 접근권한이 적절하지 않을 경우 비인가자가 /etc/hosts.lpd 파일을 수정하여 허용된 사용자의 서비스를 방해할 수 있으며, 호스트 정보를 획득할 수 있음 참고 hosts.lpd 파일: 로컬 프린트 서비스를 사용할 수 있는 허가된 호스트(사용자) 정보를 담고 있는 파일 (hostname, IP 주소를 포함하고 있음) 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 ■ 판단기준 양호 : hosts.lpd 파일이 삭제되어 있거나 불가피하..

정보보안/주요정보통신기반시설가이드 2024. 1. 31. 20:42