전체 글140 불필요한 웹 Method 진단 시 발생하는 문제점 및 대응방안 ※ 필자는 현재 모의해킹 컨설팅(웹/앱 취약점 진단)파트에 일을 하고 있다. (이제 2개월 차인 햇병아리임...) 기업 취약점 진단 프로젝트를 진행하다 보면 불필요한 메스드 관련 취약점이 자주 등장하는데. 문제가 있었다 요청 패킷 부분에서 OPTIONS로 값을 주었을 때 서버 측에 허용 중인 불필요한 메소드(PUT, DELETE)가 존재한다. 하지만 실행을 시키면 실행되지 않아 이 부분을 취약을 잡을지 양호를 잡을지 정말 고민이었다. 왜냐하면 분명 서버 측에는 허용중인 불필요한 메소드가 ALLOW로 설정 되어 있다!!. 근데 실행은 되지가 않는다. 도대체 왜?? 허용이 되는데 실행은 왜 안돼?이런 고민을 한방에 해결해 준 것이 바로 이번 블로그이다. 많은 도움이 되었으면 좋겠다. 01. 개요 HTTP(H.. 2020. 9. 15. 보안 컴플라이언스 Compliance 라는 단어는 영어 사전에서 '요구나 희망사항에 대한 준수', '순종'을 뜻합니다. 단어의 뜻에서 그 의미를 미루어 볼 때, 컴플라이언스란 최소 요건을 충족하는 데 그치지 않고, 기업이 자발적으로 관련 법규를 준수하고자 하는 의지와 윤리적으로 옳은 행동을 하는 기업윤리까지 포함하여 사회적 규범을 준수한다는 포괄적 의미를 지닌 일련의 활동이라 할 수 있습니다. 컴플라이언스는 국내에 등장한지 얼마되지 않았지만, 이미 해외에서는 10여년 전부터 사용해왔던 용어입니다. 2001년 미국의 대표적인 회계 부정 사건인 엔론(Enron)사 사태를 계기로, 기업 경영진과 외부 감사인에 대한 책임을 강화하기 위해 사베인-옥슬리(Sarbanes-Oxley)법이 제정되었습니다. 그 당시 '위험 통제를 위한 .. 2020. 8. 24. robots.txt에 대한 해커에 관점과 보안의 관점의 차이 robots.txt란? robots.txt는 로봇 배제 표준(robots exclusion protocol)으로 알려진 규약으로서 해당 웹사이트에 대한 크롤링 지침을 전달하기 위한 용도로 사용된다. 쉽게 말해 접근 가능/불가능한 페이지, 디렉토리, 크롤러를 명시함으로서 크롤러를 제어 할 수있는 파일이다. 하지만 robots.txt 파일에 페이지, 디렉토리, 크롤러를 명시한다고 해도 접근이 불가능한 것은 아니다. 파일에 명시한 내용은 단순 '규약' 일뿐, 이를 어긴다고 문제가 될 건 없기 때문이다. 또한, 일반적인 웹 브라우저를 통해서 접근하는 클라이언트는 제어 할 수 없다. 해커관점의 robots.txt 민감한 정보를 포함하고 있는 '/wp-admin'라는 페이지가 존재하고, 이 페이지의 경로는 관리자만.. 2020. 8. 5. Python을 이용한 TCP_SYN_Flooding 공격 구현 TCP(연결 지향 프로토콜): 메시지르 보내기 전에 3-Way-handshake 과정을 통해 메시지를 정상적으로 전달하는 방식이다. 먼저 syn flooding 공격을 설정하기 전 3-way-handshake 과정에 대해 알아보자 TCP는 세 차례의 패킷들을 주고받는 과정을 거쳐야한 TCP 연결(Connection)이 성립(establish)이 된다. 패킷을 주고 받는 내용은 아래와 같다. 먼저 Client는 Server와 통신하기 하기 위해 SYN 패킷(sequence number 포함)을 생성해서, Server에게 전달 한다. Server는 SYN 패킷(sequence number 포함)과 받은 SYN의 대답 격인 ACK 패킷(acknowledgement number 포함)을 Client에게 전달한다.. 2020. 7. 13. 이전 1 2 3 4 ··· 35 다음