어 나 정현욱.

웹 애플리케이션 방화벽 ( WAF ) WAF란, 이름에서도 알 수 있듯이 일반적인 방화벽( Firewall )은 아닙니다. 웹 애플리케이션 보안에 특화된 방화벽 = WAF WAF vs Firewall 그렇다면 WAF와 방화벽은 어떤 차이가 있는지 알아보겠습니다. 우리가 흔히 일반적으로 말하는 방화벽은 OSI 7 계층 중, 3 계층에서 필터링을 진행합니다. 즉, 통신하는 패킷의 정상 여부를 판단해서 필터링하는 솔루션입니다. 하지만 방화벽만 사용하게 된다면 7 계층에서 발생하는 웹 공격에 대한 방어를 할 수 없습니다. 위와 같은 단점을 보완하기 위해 나온 것이 바로 WAF입니다. WAF는 7 계층에서 동작하며 HTTP 트래픽을 모니터링하고 필터링합니다. WAF를 사용하여 CSRF, XSS, File Incl..

위협 관리 시스템 ( TMS | Threat Management System ) 전사적 IT 인프라의 위협들을 수집·분석·경보·관리하는 통합 관리 시스템입니다. 실시간으로 위협 정보들을 수집·분석하여 관리자에게 제공함으로써, 각종 위협으로부터 사전 대응 및 경보 체계를 구축하고 알려지지 않은 공격들에 대한 조기 대응을 유도하는 시스템입니다. TMS 필요성 - 기존의 한정된 공격 패턴을 넘어서서 침해 사고 유형의 변화와 위협의 다양성이 증가하고 있기 때문에, 알려지지 않은 공격에 대하여 보다 사전적이고 신속한 대응 체계가 필요합니다. - 다양한 공격 유형별 단위 보안 솔루션 도입으로 제한된 인력이 과다한 업무에 따른 업무 효율성 저하로 인해 Security Hole이 발생할 수 있습니다. TMS 기능 1...

스테가노그래피 ( Steganography ) 개념 스테가노그래피는 기밀 정보를 이미지나 동영상 등 파일 안에 숨기는 심층 암호 기술을 말합니다. 실제로 9.11 테러에서 오사마 빈 라덴이 이 기법을 사용하여 크게 화제가 되었습니다. 위 사진처럼 겉으로 보기엔 평범해 보이지만, 그 안에 비밀 메시지를 숨겨놓는 기술이 스테가노그래피입니다. 스테가노그래피의 대표적인 기법은 삽입 기법이 있습니다. 삽입 기법 삽입 기법은 원본 파일 데이터를 수정하지 않습니다. 대신 숨길 텍스트나 이미지 등을 파일 앞에나 뒤에 삽입하는 방식입니다. 위 사진은 HxD ( 16진수 에디터 ) 프로그램을 이용해 png 파일을 분석하는 사진입니다. 드래그되어 있는 부분은 PNG 파일의 Footer 시그니처입니다. ( 파일 시그니처는 다..

고전 암호 고전 암호는 컴퓨터와 같은 고성능 연산 장치가 발명되기 전, 비교적 간단한 기계와 손 등으로 암복호화를 수행하던 암호를 말합니다. 고전 암호는 치환(Substitution)과 전치(Transposition)를 사용합니다. - 치환(Substitution) : 평문의 문자를 다른 문자로 바꾸는 것 - 전치(Transposition) : 평문 문자들의 위치를 바꾸는 것 고전 암호의 종류는 다음과 같이 분류됩니다. 단일 문자 치환 암호 평문의 각 문자를 약속된 다른 문자로 치환하는 암호 방식입니다. ( 대응 관계는 일대일 대응입니다. ) 예를 들어, 평문의 'A'가 암호문의 'B'로 치환된다면, 평문의 'C'와 같은 다른 문자는 'B'로 치환될 수 없습니다. 카이사르 암호 ( Caesar Ciphe..

IT를 전공하시는 분이라면, TTL이라는 단어를 들어보신 분들이 많을 거라고 생각합니다. 다음과 같이 ping 명령어를 사용할 때 흔히 볼 수 있습니다. ( ping 명령어는 특정 IP와 통신이 가능한지 확인할 때 사용하는 명령어입니다. ) TTL ( Time To Live ) 🧐딱히 어려운 개념이 아니기 때문에 결론부터 말씀드리겠습니다.패킷이 네트워크 상에서 무한으로 순환하는 것을 방지해 주는 장치 위 문장만 봤을 때는 감이 잘 안 오시는 분들이 있으실 거 같습니다. 일단 패킷부터 설명드리겠습니다.패킷 ( Packet )패킷은 네트워크 상에서 전달되는 편지라고 생각하시면 됩니다. 정X직이 김경X에게 Hi라는 메시지를 보내는 모습입니다. 네트워크 통신을 할 때는 데이터를 패킷이라는 편지 봉투에 넣어서 전..

DVWA ( Damn Vulnerable Web Application ) 취약점 진단 및 모의 해킹을 공부/실습할 수 있도록 만들어진 웹 애플리케이션 XSS ( Cross Site Scripting ) JavaScript와 같은 스크립트 코드를 이용하여 개발자가 의도하지 않은 기능을 작동하게 하는 웹 해킹 기법입니다. CSS가 맞지만 이미 Cascading Style Sheets의 약어이기 때문에 XSS라고 부릅니다. ( XSS는 클라이언트 단에서 공격하는 Client Side 공격 중 하나입니다. ) XSS의 종류에는 크게 Reflected, Stored, DOM based 종류가 있습니다. 오늘 포스팅에는 이 중에서 Reflected에 대해 알아보겠습니다. 😉 이름을 입력하면 웹 페이지에 "Hello..

DVWA ( Damn Vulnerable Web Application ) 취약점 진단 및 모의 해킹을 공부/실습할 수 있도록 만들어진 웹 애플리케이션 Command Injection 개발자가 의도치 않은 명령어를 실행하는 해킹 기법입니다. 이해하기 쉽도록 예시를 들어 설명하겠습니다. 서버에 저장된 특정 파일을 읽는 웹 서비스입니다. 위 그림에서는 list.txt 파일을 읽으려는 정상적인 요청을 하고 있습니다. 위와 같은 요청을 받게 되면 서버에서는 cat list.txt 명령 실행 후에, 나온 결과 값을 사용자에게 반환해 줍니다. 위 그림은 Command Injection을 시도하는 모습입니다. 정상적인 입력값이 아닌 악의적인 구문을 입력하고 있습니다. 실행 결과를 보시면, cat 1 명령어와 echo ..

DoS ( Denial of Service ) 서비스 거부 공격 DoS를 직역하면 위와 같습니다. 공격 대상의 시스템 리소스를 부족하게 하여 서비스 불가 상태로 만드는 것이 DoS 공격입니다. DoS 공격으로는 다음과 같은 공격 기법이 있습니다. Ping Of Death - ICMP 패킷을 정상적인 크기보다 매우 크게 생성하여 전송하는 공격 기법입니다. - 위와 같은 경우에 MTU( 패킷 최대 전송 크기 )에 의하여 패킷의 단편화( Fragment )가 발생합니다. - 공격 대상은 단편화된 패킷을 다시 재조립하는 과정에서 많은 부하가 발생하여, 정상적인 서비스가 불가능합니다. Land Attack - 출발지 IP 주소와 목적지 IP 주소를 같게 만들어 전송하는 공격 기법입니다. - 자기 자신을 호출하기 ..