보안/보안관제 (7) 썸네일형 리스트형 msfvenom으로 제작된 ShellCode base64로 디버그 방법 Metasploit Framework 안에 유용한 도구인 msfpayload, msfencode 등 여러 도구가 포함되어 있는데 msfvenom은 모든 기능을 집합한 단일 도구에 결합을 하여 한줄 코드로 exploit 실행 파일 및 악성 쉘 코드 제작이 가능합니다. msfvenom 으로 사용하여 간단하게 어려운 쉘코드를 제작이 가능하며 해당 쉘코드를 인코딩하면은 디코딩 하지 않으면 확인이 안됩니다. 보안관제 실무 업무를 하면서 네트워크 트래픽을 분석하는 입장에서는 header, user-agent, refer, lang, page number 등등의 정보를 확인하는데 그 중에서 base64로 인코딩된 문자를 종종 확인할 수 있습니다. 대부분의 base64는 utf-8로 설정하여 변환하면 실내용이 확인가능.. 제로보드 취약점 제로보드란 무엇인가? 제로보드(Zeroboard)는 고영수가 개발한 홈페이지용 전자 게시판(BBS) 소프트웨어 또는 프레임워크이다. PHP 언어로 쓰여졌다. 1999년 말에 버전 1이 처음으로 배포되었고, 2001년 초에 버전 4가, 2002년 초에 버전 4.1이 발표되었다. 제로보드의 개발 당시 대한민국 인터넷에서는 CGI 기반의 스크립트와 게시판 호스팅 서비스가 주로 사용되고 있었으나, CGI 방식의 한계점 때문에 PHP와 같은 서버 측 스크립트 언어를 사용한 게시판 프로그램에 대한 필요성이 대두되고 있었고 실제로 비슷한 소프트웨어가 많이 개발, 출시되고 있었다. 그러나 제로보드, 특히 제로보드4는 자유로운 스킨 방식 및 회원관리 기능과 같은 여러 특화된 기능을 제공해 상당한 사용자를 확보했고, 대한.. FCKeditor 취약점 조사 및 탐지 패턴 FCKeditor는 기존의 게시판 프로그램에서 한 단계 진보한 게시판 에디터로서 글 작성 및 html 편집, 표 삽입 등이 가능하며 거의 모든 브라우저에서 적용이 가능하다. 현재 FCKeditor는 3.x 로 업그레이드 되면서 CKeditor로 변경되었으나, 아직 많은 곳에서 FCKeditor를 사용하고 있다. 업그레이드를 적용하고 시간이 지나면서 FCKeditor 공격에 대한 탐지는 확연히 줄었지만, 그럼에도 불구하고 현재까지 탐지되고 있는 공격패턴이다. 이는 경력자라면은 당연히 파악가능한 공격패턴이라도 신입입장에서는 간과할 수 있는 부분이기도하다. FCKeditor 취약점이 OWASP 및 CVE에서 인기가 없어서 신입 입장에서는 실습 및 실무적으로 잘 알지 못하면 신입은 파악하기 힘들다. (본인도 그.. ThinkPHP 원격코드 실행 취약점 (CVE-2018-20062) ThinkPHP 취약점 안녕하세요. 보안관제로 근무한지 4개월차 약간 넘었습니다. 이론이랑 실무는 확실히 다르더군요. 이론에서는 ThinkPHP 에 대하여 인지하지 못하였습니다. 실무를 하던 와중 ThinkPHP가 많이 탐지가 되고 있어서 실무적으로 알고 계셔야할 PHP 취약점 입니다. Think PHP란? - ThinkPHP는 중국에서 동적 웹 애플리케이션 개발을 위한 오픈 소스 PHP 개발 프레임 워크이다. - 현재 쇼단 검색으로 4만 개 이상의 활성 배치가 표시되고 있다. - 전 세계적으로 광범위하게 체택되었으며 아시아권에서 특히 활성화가 많이 이루어졌다. - CVE-2018-20062 취약점으로서 Think PHP을 사용한 웹프레임워크에서 인증되지 않은 원격코드 실행 취약점입니다. 취약점 * 해당.. IDS/IPS 이해 IDS/IPS RULE 적용 범위 TCP/IP 4 계층 동작 주체 패킷 구조 적용범위 Application(응용) Web, Mail, Telnet 등 Data O Transport(전송 제어) TCP, UDP TCP/UDP 헤더 O Internet(전송) IP, ICMP, IGMP IP 헤더 O Network Access(물리적 연결) ARP, NIC(Network Interface Card 등) Ethernet 헤어, 트레일러 위의 표에서 확인 할수 있듯이, IDS/IPS는 방화벽과 달리 TCP/IP 2~4계층까지 3개의 계층에서 적용되는 것을 확인할 수 있다. IDS/IPS는 IP주소와 PORT 번호 뿐만 아니라 TCP/IP 응용계층의 데이터까지 검사가 가능한 것이다. 이러한 방식은 '패턴 매칭' 또.. IDS/IPS의 차이점 IDS/IPS의 차이점 IDS는 1980년대에 미국의 제임스 엔더스에 의해 처음 그 개념이 나타난 이후 다양한 모델이 제시되고, 연구되다가 1998년 역시 미국의 마틴 로시가 대다수 IDS/IPS의 사실상 기술 표준인 Snort를 개발하면서 오늘에 이르었다. 이후 IDS 1990년대 후반, IPS는 2003년 이후 대중화가 되었다. IDS의 일반적인 물리적 구성의 경우에는 TAB 장비와 동일 선상에 있거나 TAB 장비 아래에 존재 하며 원본 트래픽의 정/오탐을 판별한다. TIP) 일반적으로 IDS는 NIDS/HIDS 의 구성으로 정/오탐 판별을 한다고 생각하지만 IDS는 만능이 아니다. IDS는 패턴기반으로 패킷을 탐지하고 패턴일치에 탐지된 패킷을 관제 모니터링으로 전송해주지만 대부분 오탐인 경우가 많기.. 방화벽 보안 방화벽 방화벽은 2개 이상의 네트워크를 IP/PORT의 신뢰 여부를 기준으로 구분해주는 접근 제어기반의 보안솔루셔으로 트래픽 전송 단위인 패킷에 기록된 IP 주소와 TCP/UDP PORT 정보를 RULE과 비교하여 RULE의 목적에 따라 처리해주는 솔루션이다. 위의 접근 제어 목록은 IP/PORT TABLE을 의미하며 기존의 악의적인 행위가 있었던 IP/PORT를 미리 설정하여 추후 사이버 공격에 대한 예방을 한다. * 방화벽 접근 제어 목록 등록하기 전에 내부 IP가 포함되었는지 반드시 확인하여야 한다. 물론 관제 모니터링을 통하여 블랙리스트 IP/PORT를 전달해주지만 관제원의 실수로 WAS 서버, 이메일 APT, ADSL 장비 IP, 모의해킹 IP 에 대하여 전달 할 수 있으므로 화이트 리스트와 블.. 이전 1 다음
