보안(57)
-
2022년 상반기 주요 보안 이슈 및 2022.09.07
-
현업자 특강
모의해킹 =>>> 관점이 다르다 모의해킹 - 어느상황에서 어디까지 들어가서 어떤 데이터를 얻을수 있는가 뚫을수가 없을때 보고를 어떻게 할까? >> 보고할 꺼리가 많이 없기에 전문으로 하는 업체에서 따로 진행 > tod , 스틸리아 (기술적 난이도가 높다) 보통 추약점 점검 위주로 간다.> 체크리스트 가이드 따라서 수요가 많다 취약점 분석을 하라는 법이 존재 보안분야 기술컨설팅 -체크리스트기반 버그바운트(리버스엔지니어링_디버거, 어셈블,디버거우회) -취약점..
2022.08.18 -
sqlmap
sqlmap(automatic SQL injection and database takeover tool)은 공개 모의침투 도구로 SQL구문삽입(SQL Injection) 취약점을 탐지/진단하고 데이터베이스에 직간접적으로 접근할 수 있는 취약점 분석 도구이다. SQL 구문삽입 공격은 DB 구조 파악이 가장 힘든 작업인데, 수작업으로 진행하기에는 매우 많은 시간이 걸린다. sqlmap은 DB 구조파악, 테이블 내용 유출 등을 자동화해주기 떄문에 웹취약점에 대한 수동분석 과정에서 상당히 많은 시간을 절약할 수 있게 도와주는 매우 훌륭한 프로그램이다. 설치 apt-get install sqlmap -y 도움말 sqlmap -h URL 입력 sqlmap -u "URL"{ 쿠키값 입력(필요시) --cookie="쿠..
2022.08.15 -
보고서 작성해보기 (작성중)
(여러사이트를 종합하여 작성함_취약점 작성 연습) /...............평균적으로 들어가는 것들............................../ 수행개요(배경/목적/일정/인원) 점검 형식(기준명시) 수행결과 대응방안 이것을 참조하자! 목차 1. 수행개요 a. 모의해킹이란 b. 배경 c. 목적 d. 일정 e. 수행 인원 점검 형식 a. 수행 대상 및 장소 b. 수행 단계별 방법 c. 침투시나리오 d. 점검항목 e. 점검도구 점검결과 a. 영향도 평가기준 b. 총평 c. 취약점 요약 d. 상세 설명 d-1. d-2. d-3. d-4. d-5. d-6. d-7. d-8. 대응방안 1. 2. 3. 4. -----------------------------------------------------..
2022.08.15 -
TTPs 탐지 및 완화
TTP(Tactic, Technique, Procedure) 공격자는 TTP를 쉽게 확보하거나 버릴 수 없다. 방어자의 환경과 공격자의 TTP는 함께 이야기 되어야 한다. https://attack.mitre.org/matrices/enterprise/ Matrix - Enterprise | MITRE ATT&CK® Enterprise Matrix Below are the tactics and techniques representing the MITRE ATT&CK® Matrix for Enterprise. The Matrix contains information for the following platforms: Windows, macOS, Linux, PRE, Azure AD, Office 365, ..
2022.08.12 -
심화과정 4일차 (실습해보기_어떤 약점이 있을랑고)
파라미터(Parameter)를 검색했더니 매개변수라고 해요. 그게 뭐죠? 파라미터를 번역하면 매개변수라는 의미를 지니는데요, IT업계에서는 ‘소프트웨어나 시스템상의 작동에 영향을 미치며, 외부로부터 투입되는 데이터’라는 의미로 통용되고 있습니다. 파라미터를 활용하여 소프트웨어나 시스템을 작동시키기 때문에 다양한 활용도를 지니고 있어 없어서는 안되는 녀석이죠. 1. SQLi 취약점 찾아보기 > 다음과 같은 파라미터 GET /kisec/dataRoom/notice_view.html?idx=36&keyfield=&keyword= HTTP/1.1 정보수집 os strings language 보고서 양식(핵심 요소) 1) 메뉴: HOME > 커뮤니티 > 공지사항 > 게시글 2) 개요: 공지사항 게시글열람시 'SQ..
2022.08.08 -
심화과정 3일차 (침투 그 이후 DB탈취 실습, 보안 방법)
https://www.exploit-db.com/ Offensive Security’s Exploit Database Archive www.exploit-db.com 에서 취약한 플러그인 웹파일 다운로드 플러그인에서 zip파일 통째로 등록 b374k 중국에서 만들어진 웹쉘, 웹쉘사용할때 주의할것! > 해킹 프로그램이 있을수 있음 https://github.com/implayer/webshell/blob/master/php/b374k/b374k-3.2.3.php GitHub - implayer/webshell: https://github.com/tennc/webshell https://github.com/tennc/webshell. Contribute to implayer/webshell developme..
2022.08.04 -
모의 해킹 모의침투 차이점
모의 해킹 < 취약점이 있는지 확인 모의침투 < 이후에 추가적인 계정정보를 침투한다는지 등의 행위
2022.08.04 -
심화과정 2일차 (모의해킹 대상의 정보수집, 관리자 페이지 들어가기 실습)
실습! 대상정보 개요: fngs.kr 웹사이트 대상 모의침투 테스트 범위 : fngs.kr 및 *.fngs.kr DNS로 알 수 있는것 https://whois.co.kr/ 통해서 정보를 알 수 있음 서브도메인 정보도 확인해 보기. 개발자들이 주로 사용하는거 dev, bak 등 용어를 붙여서 확인해보자 https://bling-son.tistory.com/27 [네트워크 보안] 대상 정보 수집(DNS 정보 수집) - Kali Linux OS : Kali linux 명령어 : fierce 기능 : 대상에서 사용하는 모든 IP 주소와 호스트를 찾아 사전공격, 근접네트워크 스캔과 일반적으로 기존 DNS 도구에서 사용되는 도메인 이름에 대한 검색, zone transfer, bling-son.tistory.co..
2022.08.01 -
심화과정 1일차 (모의해킹 방법론)
웹 모의해킹 - 운영체제 위에서 작동해서 가장 많다 최근 iot 월패드 등 여러가지 요구사항이 생김 app 웹 수요가 높다. 웹 = 기본 모의해킹 주최자는 법적인 준수의무가 있는 기반시설 > 금융권 - 보안성 심의 금융보안원 > 금융앱 보안 진단 지원 >>>>> 자체 진단으로 변경 TTPs: 공격전략 행위 tactics techniques procedures TTPs#6 타겟형 워터링홀 공격전략 분석 1. Introduction 2. Summary 3. ATT&CK Matrix - Reconnaissance : 정찰 - Resource Development : 자원 개발 - Initial Access : 초기 침투 - Execution : 실행 - Persistence : 지속 - Defense Evas..
2022.07.30