**CCE(Common Configuration Enumeration)는 시스템의 취약한 설정에 대한 점검 진단항목 XE-02. 일반계정 root 권한 관리 취약도 상 항목설명 시스템 관리자는 root계정을 포함하여 모든 계정의 의심 가는 디렉터리 및 파일 을 정기적으로 조사하여 삭제하며, 주기적으로 불필요한 사용자 계정을 조사하여 제 거하는 것이 보안상 필요하다. /etc/passwd 파일은 Linux 시스템에 등록된 사용자 정보를 저장하는 파일이며 이 파일은 7개의 필드로 구성되어 있으며, 각 필드는 다음과 같은 의미를 가지고 있다. 필드 1: 사용자 이름 필드 2: 암호 (/etc/shadow 파일에 저장됨) 필드 3: 사용자 ID (UID) 필드 4: 그룹 ID (GID) 필드 5: 홈 디렉터리 ..
**CCE(Common Configuration Enumeration)는 시스템의 취약한 설정에 대한 점검 진단항목 XE-01. Default 계정 관리 취약도 중 항목설명 시스템에서 이용하지 않는 Default 계정 및 의심스러운 특이한 계정의 존재 유무를 검사하여 삭제한다. 대부분의 시스템에서 사용하지 않는 것이 확실한 아래의 계정들과 의심스러운 계정을 삭제하도록 하며 일반적으로 로그인이 필요치 않은 시스템 계정들은 로그인을 금지시킨다. OS나 Package 설치 시 Default로 생성되는 계정은 대부분 Default 패스워드를 사용하는 경우가 많으며 패스워드 추측공격에 악용될 수 있다. ( lp, uucp, nuucp 계정은 리눅스 시스템에서 기본적으로 생성되는 계정이지만, 대부분의 경우 사용되지..
QEMU ❓ QEMU는 가상 머신 프로그램으로, 다른 운영 체제를 실행할 수 있고 QEMU는 하드웨어 가상화를 사용하여 다른 운영 체제를 실행하는 것처럼 보이게 만든다. QEMU는 다음과 같은 기능을 제공한다. 다양한 운영 체제를 지원한다. 다양한 아키텍처를 지원한다. 다양한 하드웨어를 지원한다. 고성능을 제공한다. QEMU는 다음과 같은 용도로 사용할 수 있다. 다른 운영 체제를 테스트하거나 개발한다. 오래된 운영 체제를 실행한다. 멀티 부팅 환경을 설정한다. 보안 테스트를 수행한다. QEMU는 Linux, macOS, Windows 등 다양한 운영 체제에서 사용할 수 있다. QEMU의 기본 사용 방법은 다음과 같다. qemu-system- 예를 들어, x86_64 아키텍처의 Ubuntu 운영 체제를 ..
WAF, 방화벽, IPS, 안티디도스는 모두 네트워크 보안을 위해 사용되는 장비이지만, 각각의 역할과 기능이 다르다. 개요 **WAF (Web Application Firewall)**는 웹 애플리케이션에서 발생하는 공격을 탐지하고 차단하는 장비이고 주로 SQL 인젝션, 크로스 사이트 스크립팅, 디도스 공격과 같은 웹 애플리케이션 취약점을 이용한 공격을 방어한다. **방화벽 (Firewall)**은 네트워크를 통해 들어오고 나가는 트래픽을 제어하는 장비이고 IP 주소, 포트 번호, 프로토콜 등을 기반으로 트래픽을 허용하거나 차단하며 외부에서 내부 네트워크로 침입하는 공격을 방어하는 데 주로 사용된다. **IPS (Intrusion Prevention System)**는 네트워크에서 발생하는 이상 징후를 ..
라이브 시스템으로부터 패스워드를 획득하는 방법은 다음과 같다. (특정 환경에서 실행) 메모리 덤프를 수집한다. 메모리 덤프에는 현재 실행 중인 프로세스의 메모리 이미지가 포함되어 있고 이러한 메모리 이미지에는 종종 패스워드가 포함되어 있다. 메모리 덤프를 수집하는 방법은 다음과 같다. # 커널 모듈을 사용하여 메모리 덤프를 수집 make insmod memory_dump.ko dd if=/dev/mem of=memory_dump.bin bs=1024 count=1024 rmmod memory_dump.ko # 리눅스 커널의 기능을 사용하여 메모리 덤프를 수집 dd if=/dev/mem of=memory_dump.bin bs=1024 count=1024 # 하드웨어 장치를 사용하여 메모리 덤프를 수집 메모..
RISC ❓ RISC 아키텍처(Reduced Instruction Set Computer)는 명령어의 수를 줄여 프로세서의 구조를 단순화하고, 이를 통해 성능을 향상시키는 아키텍처이다. 단순한 명령어 세트: RISC 아키텍처는 사용 빈도가 높은 기본 명령어로만 구성된 명령어 세트를 가지고 있으며 이는 프로세서의 구조를 단순화하고, 이를 통해 성능을 향상시킨다. 고효율적인 명령어 실행: RISC 아키텍처는 명령어를 한 번에 한 개씩 실행하는 방식을 사용하며 이는 명령어의 실행 효율성을 높여 성능을 향상시킵니다. RISC 아키텍처는 CISC 아키텍처(Complex Instruction Set Computer)에 비해 다음과 같은 장점이 있다. 단순한 구조: RISC 아키텍처는 CISC 아키텍처에 비해 구조가..
물리 메모리 영역 수집은 리눅스 시스템의 물리 메모리를 덤프하는 작업이며 암호화 키, 임시 파일, 악성코드 등 다양한 정보를 수집하는 데 사용될 수 있다. 물리 메모리 영역 수집을 수행하는 방법은 환경마다 상이하겠지만 리눅스 환경에서 알아보겠다. 커널 모듈을 사용하여 물리 메모리를 덤프한다. 커널 모듈을 사용하여 물리 메모리를 덤프하는 것은 가장 일반적인 방법이며 커널 모듈은 리눅스 커널에 로드되어, 물리 메모리를 덤프하는 기능을 제공한다. # 커널 모듈을 컴파일합니다. make # 커널 모듈을 로드합니다. insmod memory_dump.ko # 물리 메모리를 덤프합니다. dd if=/dev/mem of=memory_dump.bin bs=1024 count=1024 # 커널 모듈을 언로드합니다. rm..
사이드 채널 공격❓ 사이드 채널 공격은 암호화 시스템의 암호화 키를 암호화 프로세스와 직접 관련 없는 정보를 수집하여 얻는 공격 기법이며 암호화 알고리즘 자체의 약점을 이용하는 대신, 암호화 시스템의 물리적 구현 과정에서 발생하는 정보를 이용한다는 점에서 암호 분석과는 구별된다. 사이드 채널 공격은 다음과 같은 다양한 종류로 나눌 수 있다. 타이밍 공격: 암호화 프로세스의 실행 시간을 측정하여 암호화 키를 추측하는 공격 전력 분석 공격: 암호화 프로세스에서 발생하는 전력 소비량을 측정하여 암호화 키를 추측하는 공격 공간 분석 공격: 암호화 프로세스에서 발생하는 열이나 방사선을 측정하여 암호화 키를 추측하는 공격 레이저 공격: 암호화 프로세스에서 발생하는 전자기파를 측정하여 암호화 키를 추측하는 공격 사이..
HTTP temp 메소드❓ Google Cloud Storage에서 temp 메소드는 객체에 대한 임시 URL을 생성하는 데 사용되는 HTTP 메소드이다. 임시 URL은 지정된 만료 시간까지 유효하므로, 객체에 대한 액세스 권한을 제한하는 데 사용할 수 있다. temp 메소드의 요청 URL은 다음과 같다. https://storage.googleapis.com/v1//?temp_url_expires= 여기서: 은 객체가 포함된 버킷 이름이다. 은 객체 이름이다. 은 임시 URL의 만료 시간(밀리초)이다. temp 메소드의 응답은 다음과 같다. HTTP/1.1 200 OK Content-Type: application/json { "expiration": , "signedUrl": } 여기서: 은 임시 U..
frida❓ Frida는 안드로이드, iOS, QNX 등 모바일 플랫폼에서 사용할 수 있는 파이썬 라이브러리이다. Frida는 JavaScript를 사용하여 모바일 앱의 메모리, 코드, 시스템 호출 등을 제어할 수 있으며 이를 통해 앱의 동작을 추적하고, 버그를 찾고, 기능을 추가하거나 수정할 수 있다. Frida의 핵심은 C로 작성되었으며 QuickJS를 대상 프로세스에 주입하고. 여기서 JS는 메모리에 대한 전체 액세스, 후킹 기능 및 프로세스 내부의 기본 기능 호출까지 실행하면서 실행된다. 앱과 대상 프로세스 내에서 실행되는 JS 간의 통신에 사용되는 양방향 통신 채널이 있는데 Python과 JS를 사용하면 위험 없는 API로 빠르게 진행할 수 있다. Frida는 JS에서 오류를 쉽게 포착하고 충돌..