본문 바로가기

보안

 (22)
실시간 대응 키워드 기본정보의 수집 -시스템 기본 정보 (OS, Version, SP, Patch, Uptime, Accounts, System Resource, Installed Packages 등...) - 시스템 특성 파악에 필요 ​ ​ 사건 관련 정보 수집 (해킹 침해 관련) - Process 및 관련 목록 (Process, Thread, Dll, Drv, Open Handle etc…) - Process Activities n Memory n 시스템 파일 변경 여부 검사(Hash) - Network 접속 정보 (IP, Port, IP 사용 Process, Remote User Connections, etc…) - Remote Server Information (whois, Server Connection Messa..
Virtual Memory 와 Physical Memory 이해하기 VAS( Virtual Address Space ) ​ VAS는 실제 Physical Memory를 mapping한 가상 주소를 사용하는 것으로 Physical Memory 한계를 극복할 수 있고 OS가 메모리 접근을 관리하여 Memory Protection을 가능하게 한다 . ​ Windows는 VAS를 Physical Memory와 mapping하기 위하여 page table 을 사용하며 Physical Memory에 저장할 수 없는 Memory 정보는 page file로 저장하게 된다. (이를 paging이라고 한다.) ​ Process의 메모리 공간은 공유되지 않는 한 다른 Process가 접근하지 못 한다. ​ 32bit 환경에서는 최대 VAS는 4GB이고 64bit 환경에서는 2의 64bit ..
실시간 대응의 중요성 전자 상거래는 시스템상에서 실시간으로 처리되며 시스템이 다운되면 분당 수백에서 수천달러의 손실이발생할수있다. ​ 즉 압수수색한다고 서버를 들고가면 회사가 망해버리다. ​ 또한 시스템 동작 상태에서 증거 수집이 필요할 때가 있다. -범죄에 이용되는 프로그램이 메모리에만 존재할수도있다.(악성코드가 하드디스크에 저장되지않고 메모리에서 동작하다가 지워지는 경우가있다) - 임시 저장 파일의 경우 다운되면 사라질수있다. ​ 실시간대응 - 사건관련 정보수집 ​ 해킹 침해 관련 - Process , Thread , DLL ,Memory Notwork 접속 정보 등등 ​ 지적 재산 침해 관련 - 숨긴 파일 ,삭제된 파일 ,확장자 변경, 파일사용 흔적검색 , 설치 프로그램 정보 등 ​ 인터넷 사용 관련 - 인터넷접속 기록..
사이버 포렌식 사이버 포렌식의 디지털증거 ​ 전자정 형태로 유통되거나 저장되어 있는 데이터로 사건의 발생 사실을 입증하거나 반박하는 정보 또는 범행 의도나 알리바이 외 같은 범죄의 핵심 요소를 알수있는 정보. ​ 즉 데이터를 통해 법적 증거를 만들어내는것이다. ​ 디지털 증거로는 문서파일 , 메일 , 네트워크 데이터 , 소프트웨어 , 로그 데이터 , CCTV데이터 등등 있다. ​ ​ 디지털 데이터의 특성 1. 비가시성 , 비가독성 -디지털 정보 자체를 사람이 육안으로 확인할수없다. 모니터 화면에 나타나거나 프린터를 통해서 출력물은 육안으로 확인가능하지만 그 이전의 데이터를 육안으로 알수가없다. ​ 2. 대량성 -디지털 저장매체 용량의 증가로 대량의 정보가 모인다. ​ 3. 변조 가능성 -디지털증거는 간단한 조작만으로 ..
구글해킹, 구글해킹 명령 구글링으로 얻을수있는정보 1. 서버 에러 메시지 2. 패스워드 및 사용자 정보 파일 3. 숨겨진 관리자 로그인 페이지 4. 백업 파일 및 임시파일 5. 사회공학적으로 이용될수있는 정보 ​ ​ site : 특정 사이트에서 특정한 검색을 할수있다 site:www.aaa.com “c언어” 라고하면 저사이트에서 c언어라고 되어있는 문서를 찾을수있다 ​ Filetype: 파일의 종류를 정할수있다. Filetype:txt 라고하면 txt파일을 보여준다 하지만 우리는 이렇게는 원하지않을것이다 보안이라는 말이들어간 txt를 원한다면 Filetype:txt 보안 이라고 할수있을것이다. ​ 이처럼 한번 pdf 파일을 찾아보자 ​ 그렇다면 특정사이트에서 특정한 이름을 가진 특정파일을 찾아보자 Site: www.aaa.com..
DVWA를 이용한 웹해킹 - 2(리버스쉘) 앞의 바인드쉘 실습을 이어서 진행한다. ​ 방화벽입장에서 외부에서 내부로 접근하는것을 인바운드라고했는데 반대로 내부에서 외부로 접근하는것을 아웃바운드라고한다. ​ 인바운드는 처음에는 모든것을 거부하고 하나씩 허용시키는 방식을해야하고 아웃바운드는 처음에는 모든걸 허용하고 하나씩 거부를 해야한다. ​ 방화벽을 인바운드 보안을 통해 해커측은 백도어를 통해 외부에서 내부로 들어가려했던것인데 서버측에서 자신이 원하는 포트아니고는 접속을 못하게할수있다. ​ 외부에서 내부로 접근이 안된다면 그쪽에서 나한테 접속하게 즉 반대로 내가 서버를 열어두고 상대방한테 들어오게 하면 방화벽은 외부에서 내부로의 접근을 막았으니 내부에서 외부로 나가는걸 어쩌지못할것이다. ​ 이러한 방식을 리버스쉘 이라고한다. ​ 먼저 상대방이 나한..
DVWA를 이용한 웹해킹 - 1(바인드쉘) 실습에서 사용될것은 먼저 서버(우분투) 클라이언트(칼리리눅스) 을 사용하였다. 그리고 취약점진단을 하기위해 DVWA라는 취약한 웹 어플리케이션으로 진행하였다. ​ DVWA의 보안레벨은 모두 LOW상태로 진행. ​ 여러가지 취약점을 진행해볼수있게 준비되어있는데 먼저 해볼것은 ​ File Upload을 이용한 백도어 이다. ​ 클라이언트에서 서버로 접속하여 ​ 먼저 File Upload 칸으로 가보면 이렇게 서버에 올릴수있는 환경이 주어지는데. ​ 먼저 확인을 위해 test.txt라는 아무의미없는 파일을 업로드해보았다. ​ 보안레벨이 LOW라서 일부로 보여주는건가 싶을정도로 서버의 경로를 친절하게알려주는데.. ​ 이 취약점을 이용해서 사용할 스크립트는 b374k-2.8.php 라고하는 연구용 으로 배포되어있..
[웹해킹] SQL인젝션 DVWA 를 이용해서 SQL인젝션을 해본다. ​ 안의 구조를 보니 숫자값을 입력하면 그에 맞는 아이디를 보여주는 방식이였다 1 번이 admin 으로 데이터베이스에 등록이되어있어서 위의 UserID 에 1 을입력하면 admin이라는 아이디를 보여준다. ​ 그럼 위와같은 동작을하게되는 SQL 구분을 생각했을때 select 컬럼 from 테이블명 where userid=' ' 이와 같은 구분형태로 되어있을것이고 ​ 위의 화면에서 값을 넣으면 where= 뒤의 싱글쿼터(') 사이에 값이들어가서 그에맞는 값을 보여줄것이다. ​ 위에서 말한것처럼 1을 넣었을때 admin이 나오는걸봐서는 ​ select userid from member where useid= '1' => admin 이 나오는것으로 예상이된다 . (..

티스토리툴바