1. 리눅스에서 Process DI 1번을 가지고 있는 프로세스는 무엇인가. -> init 2. 윈도우 SID를 조회한 것이다 사용자의 고유한 ID를 나타내는 필드는? -> 맨 마지막 필드 3. SetUID와 SetGID가 설정된 모든 파일을 찾으려는 명령어는? -> find /-type f \(-perm 2000 -0 perm -4000 \) -print 4. 이메일과 관련된 프로토콜은 -> SMTP, POP3, IMAP 5. 악성코드의 치료방법이 다른것은? -> 해킹[바이러스, 웜, 트로이목마], 정보탈취[스파이웨어] 6. Challenge & Response 기반 인증 프로토콜은? -> NTLM 7. 유닉스 시스템의 파일 또는 디렉터리가 만들어질 때 허가권의 기본값을 지정하는 명령어는? -> uma..
버퍼 오버플로우 프로세스 메모리 영역 중 버퍼에 초과값을 입력하여 시스템을 중지시키거나 원하는 동작을 하도록 조작하는 행위 스택 버퍼 오버플로우(Stack Buffer Overflow) 주로 SetUID가 설정된(루트 권한으로 실행되는) 프로그램들을 타겟으로 한다. 입력값에 수용 가능한 버퍼보다 큰 값을 입력하여 임의의 공격코드를 루트 권한으로 실행시킨다. 원리 프로그램에서 특정 함수를 실행시키면 스택에 이전 함수로 돌아가기 위한 주소가 기록된다. (함수에서 return이 호출되면 그 값과 함께 돌아갈 주소) 버퍼에 큰 값을 넣게 되면 이 스택 영역을 침범하게 된다. 리턴 주소가 들어갈 곳에 쉘코드나 다른 프로그램의 주소를 넣으면 그것이 실행되게 된다. 힙 버퍼 오버플로우(Heap Buffer Overf..
리눅스 패스워드 복잡도 retry=5 : 패스워드 입력 실패 시 재시도 가능 횟수 difok=10 : 기존 패스워드와 비교하는 정도. 기본값10 (50%) minlen=5 : 패스워드의 최소 길이 dcredit=-1 : 숫자를 최소 1자 이상 사용 ucredit=-1 : 영어 대문자를 최소 1자 이상 사용 lcredit=-1 : 영어 소문자를 최소 1자 이상 사용 ocredit=-1 : 숫자, 영어대/소문자를 제외한 기타문자(특수문자)를 1자 이상 사용
Stealth Scan TCP FIN 스캔 FIN플래그를 설정하여 보낸다. 응답이 없으면 열려 있는 것으로 판단한다. RST 패킷이 되돌아 오면 닫혀 있는 것이다. TCP ACK 스캔 포트의 오픈 여부를 판단하는 것이 아닌, 방화벽 정책을 테스트하기 위한 스캔 대상 방화벽이 상태 기반(Stateful)인지 여부, 대상 포트가 방화벽에서 필터링되는지 여부 NULL 스캔 NULL 플래그(모든 플래그가 0)를 설정하여 보낸다. 응답이 없으면 열려 있는 것으로 판단한다. RST 패킷이 되돌아 오면 닫혀 있는 것이다. Xmas 스캔 여러 플래그를 동시에 설정하여 한꺼번에 보낸다. 응답이 없으면 열려 있는 것으로 판단한다. RST 패킷이 되돌아 오면 닫혀 있는 것이다. SYN 스캔 Open 스캔과 대비하여 Half..
TCP/IP 4계층 L4 응용 계층 L3 전송 계층 L2 인터넷 계층 L1 네트워크 엑세스 OSI 7계층 L7 응용 계층 L6 표현 계층 L5 세션 계층 L4 전송 계층 L3 네트워크 계층 L2 데이터링크 계층 L1 물리 계층
크리덴셜 스터핑 (Credential stuffing) 공격자가 이미 확보한 크리덴셜(로그인 정보 등 개인 신상과 관련해 암호화한 정보)을 다른 계정들에 마구대입하는 방식으로 이용자 정볼르 침해하는 행위
이메일 프로토콜 SMTP : TCP 25번 포트 POP3 : TCP 110번 포트 IMAP4 : TCP 143번 포트 보안프로토콜 PEM(Privacy Enhanced Mail) IETF에서 채택한 기밀성, 무결성, 부인방지를 지원하느 이메일 보안 기존 전자우편 프로토콜을 이용하여 보안을 위한 정보를 추가해서보냄 구현의 어려움으로 많이 사용되지 않으며 군사용 시스템 등에서 드물게 사용 PGP(Pretty Good Privacy) Phil Zimmermann이 개발한 대표적인 전자우편 프로토콜 전자서명을 이용해 인증을제공 대칭 블록암호를 이용해 기밀성을 제공 ZIP알고리즘으로 압축 부호화를 이요해 전자우편 호환성을 제공 단편화 조립을 통해 길이가 긴 전자우편 데이터를 전송 S/MIME(Secure Mult..
Xferlog FTP 등을 통해 파일이 전송된 기록이 저장된 로그 파일 # more xferlog Thu May 17 11:54:41 2018 6 file.test.kr 1234567 /home/user/test1.mp3 b _ i r itwiki ftp 0 * c Thu May 17 11:54:42 2018 7 file.test.kr 1234567 /home/user/test2.mp3 b _ o r itwiki ftp 0 * c 전송 날짜와 시간 : Thu May 17 11:54:42 2018 전송 시간(초) : 6 원격 호스트 주소 : file.test.kr 전송된 파일크기 : 1234567 전송 파일명 : /home/user/test1.mp3 파일유형 : b [ a = ascii(문자) b = bi..
침입탐지 시스템 IDS(Intrusion Detection System) False Positive(오탐) : 정상적인 접근을 비정상적인 접근이라 잘못 판단 False Negative(미탐) : 비정상 접근을 정상이라고 잘못 판단 실행 단계 데이터 수집 데이터 가공 및 축약 침입 분석 및 탐지 보고 및 대응 침입차단시스템 IPS(Intrusion Prevention System) 기본 적으로 IDS와 모든 메커니즘이 동일 자동으로 차단하는 기능이 있냐 없냐의 차이 IDS vs IPS 구분 IDS IPS 주요목적 Passive Active 침입 여부의 탐지 목적 침입 이전 방지 목적 분석방법 알려진 공객 패턴 Rule DB 기반
CSRF (Cross-Site Request Forgery) 크로스사이트 요청위조 특정 웹사이트에 대해서 사용자가 인지하지 못한 상황에서 사용자의 의도와는 무관하게 공격자가 의도한 행위를 요청하게 하는 공격 보안대책 입력폼 작성시 GET방식보다는 POST방식을 사용 입력처리 프로그램 사이에서 토큰 사용 사용자 세선검즘 재인증 유도 // 입력화면이 요청되었을 때, 임의의 토큰을 생성한 후 세션에 저장한다. session.setAttribute(“SESSION_CSRF_TOKEN”, UUID.randomUUID().toString()); // 입력화면에 임의의 토큰을 HIDDEN 필드항목의 값으로 설정해 서버로 전달되도록 한다. // 요청 파라미터와 세션에 저장된 토큰을 비교해서 일치하는 경우에만 요청을 처..
TLS(Trasport Layer Security) 브라우저나 서버 구간 암호화를 지원하는 보안 브로토콜 공개키 알고리즘을 기반으로 동작한다. X.509 인증서를 지원한다. 기본적으로 TCP 443 포트를 이용한다. OSI 7계층 중 4계층(Transport)부터 7계층(Application)에 걸쳐 동작한다. RSA, MD5, SHA-1 등을 사용한다. SHA-1은 최근에 SHA-256으로 대부분 교체되었다.
