| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- 정보보안기사
- wargame
- webhacking.kr
- Spring MVC
- stack overflow
- Spring
- system hacking
- System
- 정보처리기사 실기
- Buffer Overflow
- Shell code
- LOB
- BOF
- 웹해킹
- Lord of BOF
- PWN
- Spring Framework
- 워게임
- pwnable
- OS
- Payload
- 정보보안기사 실기
- 운영체제
- 네트워크
- webhacking
- hacking
- Pwnable.kr
- Operating System
- 해킹
- SQL
- Today
- Total
목록정보보안기사 어플리케이션 (7)
DongDD's IT
[정보보안기사 실기] 정보보호 관리 정보 보호 정보 보호 목표 1. 기밀성(Confidentially)- 인가된 사람, 시스템, 프로세스만이 정보 자산에 접근할 수 있게함- 접근 제어, 암호화 2. 무결성(Integrity)- 비인가 사용자에 의한 불법 변조가 없어야함- 메시지 인증 3. 가용성(Availability)- 합법적인 사용자는 필요로 할 때 언제든지 자산에 접근할 수 있어야함 정보 보호 관리 - 조직의 목적을 충족시키며 위험을 수용 가능한 수준으로 낮추는 목적 1. 보호 대책1)기술적 보호 대책- 정보 시스템, 정보 등을 보호하기 위한 기본적인 대책- 접근 통제, 암호화, 백업 등 정보 시스템 자체에 보안성이 강화된 시스템 소프트웨어 사용2) 물리적 보호 대책- 정보 시스템이 위치한 정보 처..
[정보보안기사 실기] 정보보안 일반
[정보보안기사 실기] 정보보안 일반 - 정보보호, 암호학, 해시함수, PKI 암호학 암호 기법 1. 치환 암호(Substitution Cipher)- bit, 문자를 다른 bit, 문자로 대체- 1:1 대응이 아니여도 무관 2. 전치 암호(Transposition Cipher)- 평문의 의미를 감추기 위해 순서를 재배열 3. 블록 암호(Block Cipher)- 평문을 일정 크기로 나누어 블록 단위로 암호화- round 함수를 반복적으로 수행해 암호화 강도를 높일 수 있음 4. 스트림 암호(Stream Cipher)- 키 스트림을 이용해 순차적으로 암호화하는 방식- 블록 암호화 방식보다 속도가 빠름 암호 해독 - 제 3자가 암호문에서 평문을 찾으려는 시도를 의미- Kerchhoff(케르히호프)의 원리 :..
[정보보안기사 실기] 각종 취약점 및 도구 Reverse Shell Reverse Shell - 공격자가 서버로 접속하는 것이 아닌 서버에서 공격자에게 통신하도록 만드는 Shell 1. 원격 쉘 획득 종류1) Bind Shell- 클라이언트/공격자가 타겟 서버에 접속해 Shell을 얻는 방식2) Reverse Shell- 타겟 서버가 클라이언트/공격자에 접속해 클라이언트가 타겟 서버의 Shell을 얻는 방식 2. 목적- 방화벽을 우회해 Shell을 획득하기 위함- inbound 정책에 비해 outbound 정책을 허용하는 경우가 많아 내부->외부로 접속하는 리버스 쉘 획득이 용이함 공격 방식 1. nc(netcat)을 이용해 서버의 요청을 받을 listener 구동- nc -lvp port-> -l : ..
[정보보안기사 실기] 침입 탐지 시스템, 침입 차단 시스템, 보안 도구 침입 탐지 시스템(snort) - 네트워크 트래픽을 감시하고 분석하기 위한 도구- 기능-> Packet Sniffer : 네트워크 상의 패킷을 sniffing하여 보여주는 기능-> Packet Logger : 모니터링한 패킷을 저장하고 로그에 남기는 기능-> IDS/IPS : 네트워크 트래픽을 분석해 공겨을 탐지/차단하는 기능 snort rule - 헤더 : 처리 방식, 프로토콜, IP 주소, 포트번호 등의 패킷을 처리할 판단 기준을 명시- 바디 : 패킷을 탐지하기 위한 규칙 1. rule header 설정1) 형식- Rule Actions : 패킷이 룰에 걸렸을 때 처리 형식-> alert : 선택한 alert 방식을 이용해 ale..
[정보보안기사 실기] 어플리케이션 보안 - 웹 서버, 데이터베이스 취약점 디렉토리 인덱싱/리스팅 취약점 - 인덱싱 기능이 활성화되어 있는 경우, 공격자가 강제 브라우징을 통해 모든 디렉토리, 파일에 대한 인덱싱이 가능하게 되어 서버의 주요 정보가 노출될 수 있는 취약점 공격 방식 - URL에 페이지 이름이 명시하지 않고 디렉토리만 명시하여 확인- 디렉토리, 파일을 볼 수 있다면 취약점이 존재하는 것으로 볼 수 있음 대응 방법 1. 아파치 웹 서버 설정 파일(httpd.conf)에서 디렉토리 인덱싱/리스팅 제한- Options에 -indexes 추가-> 인덱싱/리스팅 시도 시 403 Forbidden 응답을 받음 2. 윈도우 IIS 웹 서버에서 디렉토리 인덱싱/리스팅 제한- IIS 등록 정보의 홈 디렉토리..
[정보보안기사 실기] 어플리케이션 보안 - 웹 취약점 SQL Injection - Web Application에서 입력 받아 database에 전송하는 SQL 쿼리를 변조해 권한 상승, DB 조회 등을 수행해 DB에 불법적인 접근을 시도하는 공격- SQL Injection 취약점 스캐너 : Nikto, SQLMap, Absinthe SQL Injection 분류(공격 방식) 1. Form SQL Injection- HTML Form 기반 인증을 실시하는 웹 어플리케이션의 취약점을 이용해 인즈을 위한 쿼리문의 조건을 조작해 인증을 우회하는 공격- where절을 항상 참이 되도록 조작 1) 공격 방식- 쿼리문에 사용되는 특수문자를 넣어 에러 발생 여부 확인-> 에러 발생 시 입력값 검증이 없는 취약한 페이지..
[정보보안기사 실기] 어플리케이션 보안 - 기초
[정보보안기사 실기] 어플리케이션 보안 - 기초 DNS(Domain Name Service) 구조/동작방식 1. DNS Server 1) Recursive/Cache 네임서버 - 관리하는 도메인없이 사용자에게 질의를 받으면 자신의 캐시에 저장된 정보 또는 반복 질의(Iterative Query)를 통해 결과를 사용자에게 응답해주는 서버 2) Authoritative 네임서버 - 관리하는 도메인이 있어 해당 도메인에 대한 질의에만 응답해주는 서버 - Zone : 관리하는 도메인 영역 - Zone File : 관리하는 도메인 정보를 가진 파일 2. Query 1) Recursive Query(재귀적 질의) - 사용자가 Recursive 서버에 질의 할때 사용 - 대상 도메인의 리소스 레코드 정보를 조회해서 ..