Skip to main content
Advanced Search
Search Terms
Content Type

Exact Matches
Tag Searches
Date Options
Updated after
Updated before
Created after
Created before

Search Results

72 total results found

[Apache] 보안 설정 진단

본 보안 가이드는 KISA에서 업로드한 2024 클라우드 보안 진단 가이드를 토대로 작성합니다. https://isms.kisa.or.kr/ 직접 보안조치를 하는 과정이 포함되며, 보안 컨설팅을 다니며 경험했던 내용이 조금 들어갈 수 있습니다. (NginX 와 결이 거의 같으므로 NginX 는 진행하지 않습니다.) (이 과정을 본 후 개념이 이해가 됐다면 가이드를 보셔도 전혀 지장이 없으실듯)

개인 프로젝트

ai로 인해 아이디어만으로 서비스를 구축하는건 쉬워졌습니다. 약간의 인프라, 보안, 네트워크 지식만을 가지고도 서비스를 운영할 수 있다고 생각합니다. 여러가지 시도들을 기록해놓는 곳입니다.

05. PHP 실행 경로 제한

[PHP] 보안 설정 진단 보안 취약점 진단 및 조치

설명 웹 서비스 진단 시에도 있는 path traversal 취약점 관련 설정이다. http://localhost/home.html 이라는 경로가 존재할 경우, 상위 디렉터리로 이동하여 웹 서버 내부 경로를 벗어나 시스템 파일을 확인 할 수 있는 취약점이다. apache를 예시로 들 경우 위 home.html 파일은 (시스템 자체에서) /var/www/html/home.html 이라는 경로에 존재한다. html이라는 디렉터리가 웹 서버측에선 최...

06. 최신 보안 패치 적용 [마무리]

[PHP] 보안 설정 진단 보안 취약점 진단 및 조치

설명 거의 대부분의 자산 종류에서 마지막을 장식하는 항목 EOS를 확인하여 보안패치를 지원하고 있는 버전인지 확인을 한다. 딴소리 단순히 서버 업데이트만 하면 조치가 되지 않느냐 싶겠지만, 업데이트 시의 서비스 영향도를 고려하여야 하기 떄문에 회사 입장에선 섣불리 업그레이드를 하기 힘들다. 그래서 의외로 되게 많이 나오는 취약점 항목 EOS 를 확인할 수 있는 페이지가 존재하여 보안패치를 지원하는지 확인 후 진단하자. EOS 확인 페이지 : ...

03. 스프링부트 도구 설치하기

Spring Boot 구축 과정

스프링 부트 라이브러리 설치 웹 개발을 도와주는 스프링 부트의 도구(라이브러리)를 설치해보자 라이브러리 = 개발 시 자주 사용하는 코드를 모아 둔 것이라고 할 수 있다. 01 . Srping Boot Devtools 설치 스프링 부트 Devtools 라이브러리를 설치하면 서버를 매번 재시작 하지 않고도 수정한 내용이 반영된다. * 보통은 서버코드를 수정할 경우 재시작을 하여야한다. 예시 01. 운영 중인 웹 서비스에서 코드를 변경 02. 코드 ...

00. 작성 현황

공지사항

작성 중 01. Spring Boot 구축 02. Cloud 보안 진단 가이드 [AWS] 작성 완료 01. PHP 보안 진단 가이드 02. apache 보안 진단 가이드 준비중... 01. Java 언어 공부 중... 02. 모바일 앱 진단 공부 중... 03. C 언어 공부 중.... 작성 예정 01. 모바일 앱 진단 02. Cloud 보안 진단 가이드 [AWS, GCP, Azure] 03. 주요 정보 통신 기반 시설 가이드 서술 및...

01. 참고하면 좋은 페이지 항목

공지사항

01. 인프라 구축 및 세팅에 대해 간략하게 잘 정리해주신 블로그 https://btcd.tistory.com/category/INFRA?page=31 02. 여러 기술 스택에 대한 상세한 설명이 있는 블로그 https://inpa.tistory.com/category

LFI / RFI 취약점 시연

[PHP] 보안 설정 진단 취약점 시연

설명 php와 apache2를 사용하여 LFI / RFI 취약점을 시연한다. LFI = Local File Inclusion RFI = Remote File Inclusion LFI 시연 환경 Ubuntu - 24.04.3 PHP - 8.3.6 Apache - 2.4.58 IP - 172.30.1.68 [웹 서버] LFI 취약한 코드 진입할 파일 명 - lfiPhp.php <?php // RFI 취약점이 있는 코드 (교육용) ...

1.1. 사용자 계정 관리 [시작]

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 AWS에서는 계정마다 권한을 부여하거나, 권한들의 집합인 Role 을 부여할 수 있습니다. * Role을 통해 사용자 권한을 관리하는 방식을 RBAC (Role Based Access Control) 라고 합니다. AWS에는 수 많은 서비스(200개 이상)가 존재하기 때문에 권한 관리는 굉장히 중요합니다. AWS에서는 한 파트에 대한 모든 권한을 관리하는 Full Access 권한이 존재함으로 필요에 따라 권한이 부여되어 있는지 확인합니다. ...

1.2. IAM 사용자 계정 단일화 관리

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 사용자 계정은 1인 1계정 원칙을 우선으로 합니다. 한 계정에 대해 여러명이 같이 쓸 경우 로그를 분석할때 문제가 생기므로 1인 1계정을 사용하여야 합니다. 딴소리 1. 보안 진단 인터뷰 할때 중요한 점으로는 담당자를 납득시키는 점이라고 생각합니다. 이거 설정하시고 저것도 설정하셔야 되요. 라고 말했을때 담당자분이 "왜 그걸 설정해야되요?" 라고 했을때 답변 할 줄 알아야합니다. 2. 사용자 계정이 관리자분 한명밖에 없을 경우 양호처...

1.3. IAM 사용자 계정 식별 관리

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 계정별로 만들어진 목적을 네임태그에 적어놓고 관리하는지 확인합니다. 계정이 여러개 일때 관리를 용이하게 하기 위함입니다. 딴소리 SK 가이드에만 포함되어 있는 가이드입니다. 안해두면 위험하다! 보다는 가용성, 관리용이 에 대한 내용 같습니다. 진단 방법 01. 임의의 사용자로 진입합니다. 02. '태그' 탭으로 진입하여 사용자 설명이 존재하는지 확인합니다. 임의로 태그를 넣어놓았으나, 방식은 담당자마다 상이합니다. 양호...

1.4. IAM 그룹 사용자 계정 관리

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 IAM 계정들을 한 그룹으로 묶어서 한번에 권한을 부여 및 관리할 수 있다. 해당 그룹에 속해있는 계정들에 불필요 계정은 없는지, 과도하게 권한을 부여하진 않았는지 확인하면 된다. 딴소리 그룹으로 권한을 관리하는 것과, RBAC이 조금 헷갈릴 수 있다. 예시를 들면 아래와 같다. 그룹을 통한 EKS 담당자 관리 EKS Manager [그룹] -> EKS 접근, 수정 권한 manager A[사용자], manager B[사용자],...

1.5. Key Pair 접근 관리

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 EC2에 접근할때 인증하는 방법으로 Key Pair를 사용할 수 있다. 단순히 패스워드를 치고 들어가는 것 보다 보안 성이 뛰어나지만, 해당 파일이 유출 및 탈취될 경우 바로 EC2에 진입 할 수 있으므로 보관에 유의하여야 한다. 이번 진단 항목은 Key Pair를 사용해 EC2 인스턴스에 접근하고있는지에 대한 항목이다. 딴소리 KeyPair 보관 및 관리 방법은 바로 다음 항목이다. 겸사겸사 같이 인터뷰 진단 방법 01. EC...

1.6. Key Pair 보관 관리

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 Key Pair를 통해 EC2에 접근할 경우 일반 패스워드 보다 훨씬 보안성은 높지만 키 페어 파일이 유출, 탈취될 경우 공격에 취약할 수 있다. * 쉽게 말하면 비밀번호를 적어둔 텍스트 파일이라고 생각하면 된다. 파일의 누출을 방지하기 위해 Keypair 파일을 예상하기 힘든 경로, 혹은 S3 버킷, USB 별도 관리 등 접근하기 어려운 장소에 보관하여야 한다. 딴소리 Key Pair가 유출, 탈취된 것을 인지하지 못할 수 있으므로 주기적...

1.7. Admin Console 관리자 정책 관리

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 AWS Console에 가입하게 되면 가장 처음으로 생성하게 되는 계정은 모든 서비스에 접근할 수 있는 최고 관리자 계정이다. root 계정이라고 보통 부르며, 모든 권한을 가지고 있기 때문에 서비스 운영에는 사용하지 않는 것이 좋다. 진단 방법 인터뷰를 통해 Admin Console 계정을 서비스 용도로 사용하고 있지 않은지 확인 한다. 양호 취약 기준  질문 : AWS Console의 root 계정을 서비스 운영에 사용하고 계...

1.8. Admin Console 계정 Access Key 활성화 및 사용주기 관리

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 Access key는 AWS에서 사용하는 인증수단으로 해당 계정의 액세스 키를 가지고 있을 경우 손 쉽게 로그인이 가능하다. 07번 항목에서 설명했다시피 AWS의 root 계정은 모든 권한을 다 가지고 있기 때문에 최대한 비인가 접근을 막기 위해, Access Key를 만들거나 사용하지 않는것이 보안적으로 안전하다. 또한 Access Key가 탈취당하거나 유출될 수 있으므로 60일 간격으로 Access Key를 재발급 해주어야 한다. 딴소...

1.9 MFA (Multi-Factor Authentication) 설정

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 MFA, 흔히 말하는 2차인증, OTP, 다중 인증 과 같다. 사용자의 아이디, 패스워드 뿐만 아니라 다른 방법으로 추가 인증을 진행하는 것 요즘은 다른 곳에서 유출된 계정 정보를 가지고 다른 서비스에도 대입해보는 크리덴셜 스터핑 공격이 성행하기 때문에 사용자의 추가 인증이 거의 필수가 되가는 듯 하다. 딴소리 MFA인증 방식은 아래와 같다. 테스트를 해보다 보니 궁금점 콘솔 액세스가 비활성화 된 계정에 MFA를 설정하는게 의미가 있을...

1.10 AWS 계정 패스워드 정책 관리

[AWS] 클라우드 콘솔 보안 진단

취약점 설명 패스워드를 생성할 때는 복잡도를 충족하도록 설정해야 한다. 일반적으로 3종류 이상의 조합(대 소문자, 숫자 특수문자) 및 8자리 이상의 패스워드를 기준으로 한다. 또는 2종류 이상의 조합 + 10자리 이상의 패스워드도 가능. AWS에서는 계정의 패스워드를 설정할때 복잡도를 충족하도록 강제하는 정책이 기본적으로 적용되는데, 해당 설정을 개인 설정으로 변경하여 취약하게 사용할 경우 보안적으로 위험할 수 있다. 딴소리 SK AWS 진단...