Recently Updated Pages
1.3. IAM 사용자 계정 식별 관리
취약점 설명 계정별로 만들어진 목적을 네임태그에 적어놓고 관리하는지 확인합니다. 계정이 여러개 일때 관리를 용이하게 하기 위함입니다. 딴소리 SK 가이드에만 포함되...
1.4. IAM 그룹 사용자 계정 관리
취약점 설명 IAM 계정들을 한 그룹으로 묶어서 한번에 권한을 부여 및 관리할 수 있다. 해당 그룹에 속해있는 계정들에 불필요 계정은 없는지, 과도하게 권한을 부여하진 않...
1.5. Key Pair 접근 관리
취약점 설명 EC2에 접근할때 인증하는 방법으로 Key Pair를 사용할 수 있다. 단순히 패스워드를 치고 들어가는 것 보다 보안 성이 뛰어나지만, 해당 파일이 유출 및 ...
1.6. Key Pair 보관 관리
취약점 설명 Key Pair를 통해 EC2에 접근할 경우 일반 패스워드 보다 훨씬 보안성은 높지만 키 페어 파일이 유출, 탈취될 경우 공격에 취약할 수 있다. * 쉽게 말...
1.7. Admin Console 관리자 정책 관리
취약점 설명 AWS Console에 가입하게 되면 가장 처음으로 생성하게 되는 계정은 모든 서비스에 접근할 수 있는 최고 관리자 계정이다. root 계정이라고 보통 부르며...
1.8. Admin Console 계정 Access Key 활성화 및 사용주기 관리
취약점 설명 Access key는 AWS에서 사용하는 인증수단으로 해당 계정의 액세스 키를 가지고 있을 경우 손 쉽게 로그인이 가능하다. 07번 항목에서 설명했다시피 AW...
LFI / RFI 취약점 시연
설명 php와 apache2를 사용하여 LFI / RFI 취약점을 시연한다. LFI = Local File Inclusion RFI = Remote File In...
03. 스프링부트 도구 설치하기
스프링 부트 라이브러리 설치 웹 개발을 도와주는 스프링 부트의 도구(라이브러리)를 설치해보자 라이브러리 = 개발 시 자주 사용하는 코드를 모아 둔 것이라고 할 수 있다. ...
02. Controller 만들기
01. 컨트롤러 만들기 프로젝트를 생성했으니 이제 예시로 페이지를 만들어 보려한다. http://localhost:8080/hello 라는 URL을 만들어 테스트할 것이...
01. 스프링 부트 설치
01. JDK 설치 - 자바로 만든 웹 프레임 워크이기 때문에 자바 설치가 필요 설치 링크 : https://www.oracle.com/java/technologies/d...
04. 불필요한 명령어 사용 제한
설명 웹 페이지 중에 명령어를 입력할 수 있는 칸이 있다면 공격자가 악의적인 명령어를 입력할 수 있으므로 비활성화 해주어야 한다. 단순한 예제로 Command inje...
03. 외부 URL 파일 인클루드 비활성화
설명 개발언어는 보통 다른 파일들을 불러와 사용할 수 있다. 파이썬의 import 혹은 php의 include 등등... 외부에서 만들어 놓은 php 파일을 URL에 ...
02. 불필요한 헤더 정보 노출
설명 웹 모의해킹 시 프록시 툴을 사용하여 응답 값을 확인할 때가 많은데 웹서버의 버전 정보가 노출되는 경우가 있다. php 8.3, nginx 1.27 처럼 EOS가...
01. 오류 메시지 노출 [시작]
설명 고객사에서 웹 모의해킹을 하다보면 개발용 웹페이지, 관리자 페이지에서 흔하게 볼 수 있는 취약점이다. 디버깅에 편의성을 올리기 위해 오류를 웹 페이지에 출력하는 ...
06. 최신 보안 패치 적용 [마무리]
설명 거의 대부분의 자산 종류에서 마지막을 장식하는 항목 EOS를 확인하여 보안패치를 지원하고 있는 버전인지 확인을 한다. 딴소리 단순히 서버 업데이트만 하면 조치...
05. PHP 실행 경로 제한
설명 웹 서비스 진단 시에도 있는 path traversal 취약점 관련 설정이다. http://localhost/home.html 이라는 경로가 존재할 경우, 상위 ...