겉바속촉

시스템을 구축한다고 한다면 VM 가상머신 IAM 시스템 만들 때 필요한 인증_인증서버 Storage 저장 & 백업 용도 DB 예) RDS, RDBMS, NoSQL WEB Server virtual network VPC, VN ..... Load Balancer 부하 분산 서버 **참고사항** aws에는 여러가지 DB를 지원 : 리눅스 azure의 경우 MSSQL에 특화된 부분이 존재 : 윈도우 단일 서버의 문제점 전체 서비스에 장애가 생길 확률이 높으며, 애플리케이션과 데이터베이스가 같은 자원을 공유하기 때문에 둘 중 하나라도 자원을 모두 사용해버리거나 서버 하드웨어에 장애가 발생하면 해당 부분만 장애가 생기는 것이 아니라 전체 서비스가 완전히 장애 서버 자원을 효율적으로 사용하기 어려우며, 애플리케이션..

VirtualBox를 열고 obuntu 리눅스 이미지를 가져올게요:) 하지만 다음과 같이 오류가 날 수 있어요. 파일 - 환경설정 - 확장 클릭 다음 표시한 대로 해주세요:) 지난번에 확장팩도 설치해주었습니다. 설치해주었던 확장팩 클릭!!! 지난번 포스팅 참고해주세요 2021/03/03 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] VirtualBox 설치하기 [보안] VirtualBox 설치하기 virtual box 설치해보도록 할게요 다음 링크 주소로 이동 https://www.virtualbox.org/wiki/Downloads Downloads – Oracle VM VirtualBox Download VirtualBox Here you will find links to Virt..

https://download.cnet.com/Tera-Term/3001-2094_4-75766675.html Tera Term CNET Download provides free downloads for Windows, Mac, iOS and Android devices across all categories of software and apps, including security, utilities, games, video and browsers download.cnet.com

virtual box 설치해보도록 할게요 다음 링크 주소로 이동 https://www.virtualbox.org/wiki/Downloads Downloads – Oracle VM VirtualBox Download VirtualBox Here you will find links to VirtualBox binaries and its source code. VirtualBox binaries By downloading, you agree to the terms and conditions of the respective license. If you're looking for the latest VirtualBox 6.0 packages, see Virt www.virtualbox.org 자신의 os에 맞게 ..

이번에는 Reverse Shell 동작 원리에 대해서 살펴보도록 하겠습니다. 지난 번 포스팅에서 운영체제 명령어 삽입을 배우면서 대략적으로 살펴봤는데요:) 먼저 보고 오는 게 더 좋겠쥬?~ 2021/02/13 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] OS Command Injection Reverse shell [보안] OS Command Injection Reverse shell OS Command Injection Reverse shell 우선 그림으로 예시를 살펴보도록 할게요:) 공격자가 하고 싶은 것은 다음과 같이 텔넷같은 것을 이용하여 서버에 붙어서 명령어를 실행시키는 것입니다. 하지만 그 2-juhyun-2.tistory.com 우선 공격자가 reverse shell ..

OS Command Injection Reverse shell 우선 그림으로 예시를 살펴보도록 할게요:) 공격자가 하고 싶은 것은 다음과 같이 텔넷같은 것을 이용하여 서버에 붙어서 명령어를 실행시키는 것입니다. 하지만 그 사이에 FireWall 같은 것들이 존재하기 때문에 불가능합니다. 방화벽이 존재하기 때문에 특정 포트 이외에는 못들어오게 막는 것입니다. 텔넷이나 ftp로 접속하려면 막아버리는 것입니다. 외부에서의 허용되지 않은 접근을 막는 것이쥬!! 내부에서 외부로 나가는 것은 어떨까요?? 일반적으로 막지 않습니다. 그렇다면 회사 내부에 있는 서버가 웹서버라면 다음과 같은 구조가 되겠죠. 공격자는 위와 같은 구조를 이용합니다. 외부에서 내부로의 접속은 어렵기 때문에 역으로 내부에서 외부로의 접속은 가..

@Attacker 가상머신 http://winxp:8080/WebGoat 접속해주세요. Malicious File Execution의 문제는 다음과 같습니다. 문제에서 제시한 파일(webgoat.txt)을 지정된 디렉터리에 생성하시오. 지정된 디렉터리는 다음 노란색으로 표시한 부분입니다. 1. 이미지 업로드 후 저장 경로확인 사진을 업로드 해보면 외부에서 접근 가능한 경로에 파일이 저장된다는 것을 알 수 있습니다. 2. 주소창을 이용해서 직접 호출 시도 웹 루트 디렉터리 아래에 업로드 파일이 저장되므로, 주소창을 이용해서 직접 호출이 가능합니다. 만약 업로드하는 파일의 종류, 크기를 제한하지 않는다면 서버에서 실행가능한 파일을 업로드 할 수 있겠쥬?? 서버사이드에서 올라갈 수 있는 자바기반의 파일인 js..

다운로드 기능 구현시 유의사항 외부 입력값이 서버 내부 파일을 참조하는 용도로 사용되는 경우(= 파일 식별자로 사용되는 경우), 경로 조작 문자열(. .. / \ 등) 포함 여부를 확인하지 않고 사용하여 권한 밖의 파일에 접근할 수 있는 취약점 download.jsp?filename=/data/upload/cat.jpeg ---> 파일의 저장 경로가 노출되는 문제점 ~~~~~~~~~~~~ File f = new File(filename); f.read(...) download.jsp?filename=cat.jpeg ~~~~~~~~~~~~ File f = new File("/data/upload/" + filename); ---> 물론 위의 경로와 결론은 동일하지만 캡슐화를 했다는 것이 차별점 f.read..

파일 업로드 취약점 방어 기법 업로드 파일의 크기와 개수를 제한 업로드 파일의 종류를 제한 외부에서 접근할 수 없는 경로에 업로드 파일을 저장 => 웹 (도큐먼트) 루트 밖에 저장 업로드 파일의 이름과 저장 경로를 외부에서 알 수 없도록 변경해서 저장 업로드 파일의 실행 속성을 제거하고 저장 파일 업로드 취약점이 제대로 방어된다면 다운로드 기능이 필요해 질 것입니다. **웹 도큐먼트 루트는 지난 포스팅 참고** 2021/02/11 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 웹 도큐먼트 루트 [보안] 웹 도큐먼트 루트 지난번에 파일 업로드 취약점에 대해 알아봤습니다. 2021/02/11 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 파일 업로드 취약점 [보안] 파..