본문 바로가기

루키즈22

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(14일차) 오늘 학습 주제 1. Kali Linux를 공격 실습 Kali Linux를 공격 실습 - Command Injection - 공격자가 악의적인 명령어를 응용 프로그램에 주입하여 실행시키는 기술로 주로 웹 응용 프로그램에서 발생하는 보안 취약점 실습을 위하여 보안 수준을 낮춰 Command Injection이 잘 작동하도록 설정을 변경한다 이후 왼쪽 사이드바에서 [Command injection] 항목을 선택한다 [Command Injection]을 선택하면 입력 필드가 나오는데 IP Address나 URL을 입력하면 입력된 곳으로 Ping을 확인하는 것을 알 수 있다 이 입력 필드가 실행하는 것은 다음과 같은 명령어임을 추측할 수 있다 ping 그렇기에 추가적인 명령어를 입력하면 다른 결과값을 확인할 수.. 2023. 11. 10.
[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(13일차) 오늘 학습 주제 1. DVWA 2. 실습 DVWA - DVWA - 보안 전문가, 개발자, 학생들이 웹 응용 프로그램 보안에 대한 기술을 연마하고 향상시킬 수 있는 교육 및 훈련용 플랫폼으로 의도적으로 취약한 상태로 만들어진 웹 응용 프로그램 기능 설명 SQL Injection (SQLi) 다양한 수준의 SQL 삽입 취약성을 제공하여 사용자가 SQL 삽입 공격을 실습 Cross-Site Scripting (XSS) 사용자가 XSS 공격에 대한 이해를 향상시키기 위해 다양한 수준의 XSS 취약성이 포함 Cross-Site Request Forgery (CSRF) CSRF 취약점을 통해 웹 응용 프로그램이 신뢰할 수 없는 요청을 수락하는 방법을 학습 File Inclusion (FI) 파일 포함 취약점을 통해.. 2023. 11. 8.
[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(12일차) 오늘 학습 주제 1. 애플리케이션 보안 - 웹 애플리케이션 2. 교전 수칙 3. 효율적 탐색 애플리케이션 보안 - 웹 애플리케이션 - 개요 - 웹 브라우저를 통해 접근하고 사용하는 소프트웨어 응용 프로그램 장바구니, 제품 검색과 필터링, 인스턴트 메시징, 소셜 미디어 뉴스피드 등 일반적으로 사용되는 웹 사이트 기능이 웹 애플리케이션을 기반으로 설계 웹 애플리케이션 웹 사이트 정의 클라이언트(사용자)와 서버 사이에 HTTP 프로토콜을 이용하여 데이터를 주고 받으면서 동작하는 소프트웨어 프로그램 정적인 컨텐츠를 제공하는 웹 페이지나 문서 사용분야 인터넷 뱅킹, 온라인 게임, 웹 메일 등 데이터를 저장,조작, 가공하여 동적인 정보 제공 뉴스 사이트, 쇼핑몰 등 정적인 데이터 제공 - 웹 프레임워크 - 웹 애플.. 2023. 11. 7.
[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(11일차) 오늘 학습 주제 1. 시큐어코딩 - 시간 및 상태 2. 시큐어코딩 - 에러처리 3. 시큐어코딩 - 코드 오류 4. 시큐어코딩 - 캡슐화 5. 시큐어코딩 - API 오용 시큐어 코딩 - 시간 및 상태 동시 또는 거의 동시에 여러 코드 수행을 지원하는 병렬 시스템이나 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점 - 경쟁 조건: 검사 시점과 사용 시점[TOCTOU] - 경쟁 조건: 검사 시점과 사용 시점[TOCTOU] 정의 하나의 자원에 대해 동시에 검사시점과 사용시점이 달라 생기는 보안 약점 발생되는 문제 동기화 오류, 교착상태 등 원리 자원을 사용하는 시점과 검사하는 시점이 다르기 때문에, 검사하는 시점(Time Of Check)에 존재하던 자원이 .. 2023. 11. 6.