본문 바로가기
반응형

Security/정보보안기사23

DNS 하이재킹 (DNS 포이즈닝 혹은 DNS 리디렉션) 예방하기 DNS 하이재킹 예방을 위해 기업에서 할 수 있는 일 트로이 목마나 멀웨어가 심어져 DNS 세팅이 변경되어 있다면 우리는 DNS 하이재킹의 피해자가 될 수 있다. 이를 방지하기 위해 기업에서 할 수 있는 방법을 정리해 봤다. 1. DNS 초기화 정기적으로 DNS 캐쉬를 정리하여 악성 사이트로 유인될 가능성을 줄인다. 1) 윈도우 > ipconfig /flushdns 2) 리눅스 배포판마다 다르다 예로 우분투는 기본적으로 dns 캐싱을 사용하지 않는다고 한다. 즉, 확인하고 배포판에 맞는 방법을 사용한다. 참고 1)) 우분투에서 DNS 캐싱 사용여부 확인하기 ps ax | grep dnsmasq 결과에서 --cache-sizecache-size=0 이면 캐싱을 사용하지 않고 있는 것이다. 참고 2)) 우분.. 2023. 1. 30.
[보안용어] 3.20 사이버테러 2013년 3월 20일 방송국과 금융사를 대상으로 전산망을 마비시킨 사건. 윈도우 계열의 PC는 MBR과 VBR을 삭제하고 무의미한 문자열로 바꾸어서 시스템을 마비시킴 리눅스 계열의 서버는 dd및 rm 명령을 원격에서 전송하여 디스크를 삭제. ​ MBR - Master Boot Record (부트로더가 있다) ​ VBR - Voulmn Boot Record 2023. 1. 29.
[보안용어] Shell Shock 리눅스 계열 및 MAC OS 운영체제에서 사용되는 GNU bash shell에서의 취약점을 발견한 과학기술 정보통신부와 한국 인터넷진흥원에서 지은 이름. ​ 리눅스 환경변수에 빈 함수를 넣으면 그 뒤에 오는 코드는 무조건 실행디는 심각한 버그. CGI 스크립트 등을 통해 공격을 할 수 있다. ​ 예) $ env x='() { :;}; echo vulnerable' bash -c "echo this is berasix" vulnerable this is berasix 2023. 1. 29.
[OWASP 2017] A10 불충분한 로깅 및 모니터링 1. 개요 거의 모든 중요한 보안사고의 기반이다. 침투 테스트 후 로그를 검사해야 한다. ​ 2. 영향 취약점이 탐색되어지고, 공격 성공률이 높아진다. ​ 3. 취약점 확인 1) 로그인, 로그인 실패, 트랜잭션 같은 감사해야 할 이벤트가 기록되고 있는가? 2) 경고 및 오류에 대한 로그 메시지가 없거나, 불충분하거나 불명확한가? 3) 로그를 로컬에만 저장하는가? 4) 사용자나 공격자에게 로깅이나 경고 이벤트가 보이는가? ​ 4. 시나리오 1) 오픈소스 프로젝트 포럼 소프트웨어가 결함이 악용되어 해킹당하는 경우. 2) 공격자가 공통 암호로 사용자를 찾기 위해 스캔한다. 이 암호를 사용하여 모든 계정을 탈취할 수 있다. 이 스캔은 단지 하나의 잘못된 로그인 기록만 남긴다. 3) 중요한 탐지가 있었으나 아무도.. 2023. 1. 28.
[OWASP 2017] A9 알려진 취약점이 있는 구성 요소 사용 1. 개요 이 문제에 대한 확산은 매우 광범위하다. 패치 관리 프로세스가 있어야 한다. ​ 2. 영향 가장 큰 유출 사고들 중 일부는 이 취약점을 악용한 것이다. ​ 3. 취약점 확인 1) 취약한, 지원되지 않는, 오래된 버전의 소프트웨어인가? 2) 구성요소의 구성 정보를 보호하고 있는가? ​ 4. 시나리오 1) 코딩 오류, 구성 요소 내 백도어에서 발생할 수 있다. => 예 : 스트럿츠 2 원격코드 실행 취약점, 패치하기 어렵거나, 불가능한 사물 인터넷 => 자동화된 도구로는 shodan IoT 검색 엔진이 있다. ​ 5. 보안 대책 1) 사용하지 않는 종속성, 불필요 기능, 구성 요소, 파일과 문서 제거한다. 2) versions, DependencyCheck, retire.js 같은 도구를 사용하여.. 2023. 1. 28.
[OWASP 2017] A8 안전하지 않은 역직렬화 1. 개요 다소 어려운 공격이다. ​객체 및 데이터 구조 관련 공격, 일반적인 데이터 변조 공격이다. 직렬화는 RPC/IPC, 유선 프로토콜, 웹 서비스, 메시지 브로커, 캐싱/지속 연결, DB, 캐시 서버, 파일 시스템, HTTP 쿠키, HTML 양식 파라미터, API 인증 토큰에 사용된다. ​ 2. 영향 원격코드 실행 공격이 발생할 수 있다. ​ 3. 취약점 확인 1) 공격자가 애플리케이션 로직을 수정하거나 애플리케이션에 사용 가능한 클래스가 있는가? => 임의의 원격 코드 실행으로 역직렬화 중이나 이후에 동작을 변경할 수 있다. ​ ​4. 시나리오 1) 공격자가 자바 직렬 킬러 도구를 사용하여 애플리케이션 서버에서 원격 코드 실행을 얻을 수 있다. 2) PHP에서 super 쿠키 저장 후 공격자가 .. 2023. 1. 28.
728x90