전체 글
-
Bandit war game Level 0 -> 1리눅스/bandit war game 2023. 9. 13. 15:15
워게임 레벨 0에서는 로그인을 하였고 다음으로는 로그인한 상태 그대로 문제를 풀어나가는 형식이다. 이번 목표는 레벨 0 폴더의 readme 파일을 이용해 bandit1로 들어가는 것이 목표다. 사용해야 하는 커맨드는 ls, cd, cat, file, du, find 이고 이것을 다 사용해야 하는 것 같다. 위에서 제시된 커맨드는 꼭 다 써야되는 건 아닌 것 같았다. 이제 어떻게 해야 하는지 대략 감은 잡았으니 쭉쭉 레벨을 풀어가보자
-
Bandit war game Level 0리눅스/bandit war game 2023. 9. 12. 02:13
유튜브를 보던 중 해킹공부에 좋다고 하여 OverTheWire 라는곳에서 만든 Bandit war game 이라는걸 알게되었다. 이제부터 시간 날때마다 틈틈이 워게임을 공부해 볼 생각이다. 문제는 총 34레벨로 이루어져있고 레벨이 오를수록 난이도가 어려워지는 구조로 보인다. 그럼 입문으로 Level 0부터 시작해본다. Level 0 Level 0 의 목표는 SSH를 사용하여 bandit.labs.overthewire.org 에 접속하는 것이고 포트는 2220 아이디와 비밀번호는 각각 bandit0 로 주어져있다. bandit war game 자체가 리눅스 워게임이다보니 모든 문제는 리눅스를 활용하여 진행되는 것 같다. 서버에 접속하면 레벨 0이 완료된다.
-
OWASP TOP 10 모바일 취약점 진단항목 정리(2016년 기준)취약점 점검 2023. 9. 1. 01:09
M1 부적절한 플랫폼 사용(Improper Platform Usage) 부적절한 플랫폼의 사용이란 안드로이드, IOS 같은 플랫폼 기능들을 잘못 사용하거나, 보안 통제를 적용하지 않아 문제가 발생하는 것을 말한다. 보통 루팅체크를 위주로 한다. 루팅을 하면 루트권한을 가져 모든 권한에 대해 접근을 할 수 있기에 루팅이 된 폰에서는 접근 할 수 없도록 체크하는 것이 핵심이다. 또한 어플자체가 과도하게 권한을 가질 경우도 공격에 활용 될 수 있다. 대응방안 앱 개발 시 접근권한을 과도하게 부여하지 말아야하며 루팅이 된 모바일 기기에서는 접근이 되지 않게 설정한다. M2 안전하지 않은 데이터 저장(Insecure Data Storage) 보통 모바일 앱을 설치하고 난 뒤에 중요한 정보들이 앱에 입력된다. 자동..
-
리눅스 웹서버 서버 구축하기(1)_아파치 서버 구축리눅스 2023. 8. 30. 18:57
주통기 기반 취약점 진단을 마쳤지만 스스로 직접 웹서버를 구축해본 적은 없어서 이번시간에는 리눅스를 통해 웹서버를 구축해보는 시간을 갖고자 한다. 구축환경 : CentOS 7.0 웹페이지를 꾸밀 때는 /var/www/html/index.html 파일을 수정하면 된다. 다음으로는 웹서버 설정을 해보자. ※ ServerTokens 옵션 종류 Prod 웹서버의 이름만 알려준다. (ex Apache) Major 웹서버 이름과 Major 버전만 알려준다. (Apache/2) minor 웹서버의 이름과 Major,minor 버전까지 보여준다. (Apache/2.4) min 웹서버의 이름과 Major,minor,mini 버전까지 보여준다. (Apache/2.4.6) OS 웹서버의 이름과 Major,minor,mini..
-
-
주요정보통신기반시설 취약점 진단 상세가이드_Unix 서버진단 실습(4)취약점 점검 2023. 8. 21. 14:39
점검대상 : centos 7(가상머신) 3.14 일반사용자의 Sendmail 실행 방지 점검내용 : SMTP 서비스 사용 시 일반사용자의 q 옵션 제한 여부 점검 점검목적 : 일반사용자의 q 옵션을 제한하여 Sendmail 설정 및 메일큐를 강제적으로 drop 시킬 수 없게 하여 비인가자에 의한 SMTP 서비스 오류 방지 보안위협 : 일반 사용자가 q 옵션을 이용해서 메일큐, Sendmail 설정을 보거나 메일큐를 강제적으로 drop 시킬 수 있어 악의적으로 SMTP 서버의 오류를 발생 시 킬 수 있음 점검방법 3.15 DNS 보안 버전 패치 점검내용 : BIND 최신버전 사용 유무 및 주기적 보안 패치 여부 점검 점검목적 : 취약점이 발표되지 않은 BIND 버전의 사용을 목적으로 함 보안위협 : 9.1..
-
맥북에서 Home brew 설치하기잡동사니 2023. 8. 18. 04:06
맥북에서 이것저것 하다 윈도즈를 사용하기 위해 UTM을 돌리던 중 가상머신 용량이 부족해졌다. 찾아보니 맥북 터미널 설정에서 변경가능한 것을 확인 검색해 보니 qemu는 가상머신을 운영하기 위한 에뮬레이터이고 qemu를 사용하기 위해서는 별도의 명령어를 통해 인스톨을 해야 사용가능하다고 한다. 다시 한번 검색해 보니 qemu를 깔기 위해서는 먼저 homebrew라는 패키지관리자 도구를 깔아야 한다고 한다. homebrew 설치 -> qemu 설치 순으로 해야 할 거 같다. 이제 homebrew를 사용해 qemu를 인스톨하려 하니 그전에 cask라는 패키지를 먼저 설치해 주어야 편하다고 한다. "cask"는 사파리, 크롬, 워드 등과 같이 그래픽을 통해 작업하는 프로그램들을 설치할 수 있게 해주는 패키지라..
-
주요정보통신기반시설 취약점 진단 상세가이드_Unix 서버진단 실습(3)취약점 점검 2023. 8. 15. 21:20
점검대상 : centos 7(가상머신) 3.1 Finger 서비스 비활성화 점검내용 : finger 서비스 비활성화 여부 점검 점검목적 : Finger(사용자 정보 확인 서비스)를 통해서 네트워크 외부에서 해당 시스템에 등록된 사용자 정보를 확인할 수 있어 비인가자에게 사용자 정보가 조회되는 것을 차단하고자 함 보안위협 : 비인가자에게 사용자 정보가 조회되어 패스워드 공격을 통한 시스템 권한 탈취 가능성이 있으므로 사용하지 않는다면 해당 서비스를 중지하여야 함 점검방법 3.2 Anonymous FTP 비활성화 점검내용 : 익명 FTP 접속 허용 여부 점검 점검목적 : 실행중인 FTP 서비스에 익명 FTP 접속이 허용되고 있는지 확인하여 접속어 용을 차단하는 것을 목적으로 함 보안위협 : Anonymous..