ㅏ

웹 해킹 > 웹 서비스를 대상으로 발생하는 해킹 웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴를 OWASP 웹에 관한 보안 프로젝트를 진행 1~10위 (약 4년 주기) 2021년 ver new! SSRF 안전하지 않은 설계 소프트웨어 데이터 무결성 오류 xss> 인젝션에 통합됨 1위 취약한 접근 통제 사용자 접근제어가 제대로 인증되지 않을경우 다른 사용자의 계정 및 데이터에 접근해 중요한 파일 열람 및 접근 권한 수정 2위 암호화 오류 민감 데이터 노출 원인이 암호화 실패라고 분석되어 명칭이 변함 3위 인젝션 xss, sql, os, xxe, ldap 인젝션 등 신뢰할 수 없는 데이터가 전달될 때 나타나는 취약점 악의적인 데이터 주입으로 인해 공격자가 명령 실핼 4위 ..

인터넷 > 방화벽 > tcp wrapper > service > pc 윈도우란? > 요청 사용 과거 90퍼이상 점유! > 모바일이 늘어나 감소 ms에서 개발 ms-dos 에서 멀티태스킹과 gui지원 윈도우 서버 (pc랑 별도) > 응답, 제공 클라이언트에 네트워크를 통해 정보나 서비스를 제공 ex 2012 2012r2 2016 2019 ..... 단점: 무겁다 서버 관리자 프로그램 설치됨 기업 내에서 데이터 저장, 호스팅 자원관리 목적으로 사용 서버 관리자를 통해 서비스 제공 라이센스 비용 있음 서버 관리자 > 역할 + 서비스(IIS, AD DS, DHCP) + 기능 윈도우 아키텍처 유저 모드에서 커널모드로 요청을 해야한다. (작업들) 유저모드 =환경서브시스템(필수 서브시스템으로 조율해줌) + 필수 서브..

환경 게이트웨이: 10.200.40.2 kali: 10.200.40.4 6.9: 10.200.40.5 7.6: 10.200.40.6 arp 테이블 맥주소 초기화 ip -s -s neigh flush all 핑을 한번 주고 받을시 맥주소가 arp테이블에 남게 되어있다. 와이어 샤크 옵션에서 port 5901 제외 > 필요없는거 많이 걸러줌 netcat (NC) 작동 안하면 iptables -F 하고 진행 한쪽에서 열면 nc -l -p 포트번호 다른쪽에서 접근 nc [ip] [port] arp 스푸핑 창1 arpspoof -i eth0 -t [도착ip] [목적ip] 창2 창1반대로 창3 자동으로 전달해주는 기능 fragrouter -B1 와이어샤크 필터 !arp&&!icmp&&!nbns 대응방안 - 정적인 ..

웹해킹이 인기있는 이유 공격자에게 노출되어 있기 때문에 네트워크 공격 디도스>> 이 성격을 가지고 있는 친구들이 많다. arp 스푸핑 mitm ping of death land flooding smurf 브로드케스트 어텍 dhcp starvation budy slowloris ......... 공격 기법이 많다 핵심 dos, scan dos, ddos 차이? dos - 서비스 거부 > 아무도 들어가지마 ddos - +분산형(d) > 여러 시스템에서 트레픽을 때려서 마비 (백신접속, 자격증신청) >> 막을수가 없다, 대기서버로 완화만 가능 차단 불가 네트워크 스캐닝 공격 서비스의 작동여부와 서비스를 확인이 가능하다 (확인단계) 서비스, 포트, host 정보등을 알아냄 tcp기반이 대부분 ex) nmap 목..

가상 인프라 구성 온프레미스 장비를 물리적으로 직접 운영하는 형태 클라우드 인터넷으로 인프라를 새롭게 구축. 논리적 저장소 할당 시나리오 설정 웹서버: 아파치2.4.29, 톰캣9.0.16 db: mariadb10.1.48 rsyslog데몬으로 축적 5대의 가상 서버 를 다음과 가치 구축 작업순서 (devserver(.153)> web(.151) > db(.152)> backup(.155)> log(.154)) 고정 Ip 설정 sudo vi /etc/netplan/00-installer-config.yaml # This is the network config written by 'subiquity' network: ethernets: ens33: dhcp4: no addresses: [192.168.???..