본문 바로가기

보안프로젝트9

[보안프로젝트] 쇼핑몰 대상 XSS 취약점 진단 및 대응방안 수립 1 XSS 취약점 개요 1.1 OWASP Top 10이란? OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 3~4년 주기로 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표했다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년, 2013년, 2017년을 기준으로 발표되었고, 문서가 공개되었다. OWASP Top 10 프로젝트의 원래 목표는 단순히 개발자와 관리자의 인식을 높이는 것이었지만, 사실상 애플리.. 2021. 8. 9.

[보안프로젝트] 쇼핑몰 대상 인증처리 미흡 취약점 진단 및 대응방안 수립 1 인증 및 세션 처리 미흡 1.1 OWASP Top 10이란? OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 3~4년 주기로 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표했다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년, 2013년, 2017년을 기준으로 발표되었고, 문서가 공개되었다. OWASP Top 10 프로젝트의 원래 목표는 단순히 개발자와 관리자의 인식을 높이는 것이었지만, 사실상 .. 2021. 8. 9.

[보안프로젝트] 파이썬으로 공공데이터 Open API 이용하기 1 Open API란? 1.1 Open API 개념 Open API(Open Application Programming Interface)란 누구나 사용할 수 있도록 공개된 API를 말하며 인터넷 이용자가 일방적으로 웹 검색 결과 및 사용자인터페이스(UI) 등을 제공받는 데 그치지 않고 직접 응용 프로그램과 서비스를 개발할 수 있도록 공개된 API를 말한다. 지도 서비스 및 다양한 서비스에서 시도되고 있으며 누구나 접근하여 사용할 수 있다는 장점이 있다. 하지만 공개된 Open API 일지라도 데이터 사용 용량에 따라 비용을 지불해야 하거나 사용 횟수에 제한이 있는 경우가 있고 완전히 무료일지라도 사용자가 회원가입을 통한 신원확인 후 서비스제공자로부터 인증 키를 별도로 발급받아 오픈 API를 사용토록 장.. 2021. 8. 9.

[보안프로젝트] 도커 환경을 이용한 테스트 환경 서비스 구축 그리고 로그, 이미지 관리 방법 1 도커(Docker) 환경을 이용한 테스트 환경 서비스 구축 1.1 도커 개념 도커(Docker)는 리눅스의 응용 프로그램들을 소프트웨어 컨테이너 안에 배치시키는 일을 자동화하는 오픈 소스 프로젝트이다. 도커 컨테이너는 일종의 소프트웨어를 소프트웨어의 실행에 필요한 모든 것을 포함하는 완전한 파일 시스템 안에 감싼다. 여기에는 코드, 런타임, 시스템 도구, 시스템 라이브러리 등 서버에 설치되는 무엇이든 아우른다. 이는 실행 중인 환경에 관계없이 언제나 동일하게 실행될 것을 보증한다. 도커는 리눅스에서 운영 체제 수준 가상화의 추상화 및 자동화 계층을 추가적으로 제공한다. 도커는 cgroups와 커널 이름 공간과 같은 리눅스 커널, 또 aufs와 같은 유니언 가능 파일 시스템의 리소스 격리 기능을 사용하.. 2021. 8. 9.

[보안프로젝트] 시나리오 기반 모의해킹 프로젝트 해킹시연영상 2021. 7. 13.

[보안프로젝트] Nmap NSE를 이용한 취약점 테스트 보안프로젝트 윤창규 1. NSE 개념 1.1 NSE 개념 NSE(Nmap Scripting Engine)이란 Nmap을 이용한 강력하고 유용한 도구이다. NSE 사용자는 루아 프로그래밍 언어로 작성된 간단한 스크립트를 통해 다양한 네트워크 실험을 자동화할 수 있다. 작성된 스크립트는 Nmap과 동일한 성능을 가진다. 그리고 Nmap에서 제공하는 NSE를 사용하거나 사용자 기호에 맞춰서 스크립트에 적용할 수 있다. 따라서 개인 기호에 맞춰 네트워크 스캔, 더 정교한 버전 탐지, 취약점 탐지 등에 이용할 수 있다. NSE 스크립트 카테고리에는 auth, broadcast, brute, default, discovery, dos, exploit, external, fuzzer, intrusive, malwar.. 2021. 5. 16.

[보안프로젝트] Metasploitable3 취약점 침투 및 대응 방안 보안프로젝트 윤창규 문서 정보 / 수정 내역 File Name Metasploitable3 취약점 침투 및 대응 방안 원안작성자 윤창규 수정작업자 윤창규 수정 날짜 대표 수정자 Revision 추가/수정 항목 내 용 2021-02-05 윤창규 0.1 원안작성 보고서 초안 2021-02-06 윤창규 0.2 정보 수집 및 취약점 진단 정보 수집 및 취약점 진단 2021-02-07 윤창규 0.3 취약점 선별 취약점 선별 2021-02-08 윤창규 0.4 선별된 취약점 조사 선별된 취약점 분석 2021-02-09 윤창규 0.5 공격 시연 공격 시연 2021-02-11 윤창규 0.6 대응 방안 대응 방안 표 1-1 문서정보/수정내역 목차 1. 개요 1.1 프로젝트 주제 1.2 프로젝트 추진 배경 및 목표 1.3 .. 2021. 5. 15.

[보안프로젝트] 굿모닝 쇼핑몰 대상 SQL Injection 취약점 진단 및 대응방안 수립 결과 보고서 보안프로젝트 이름: 윤창규 문서 정보 / 수정 내역 File Name 굿모닝 쇼핑몰 대상 SQL Injection 취약점 진단 및 대응방안 수립 결과 보고서 원안작성자 윤창규 수정작업자 윤창규 수정 날짜 대표 수정자 Revision 추가/수정 항목 내 용 2021-03-05 윤창규 0.1 원안작성 보고서초안 2021-03-06 윤창규 0.2 수동진단 수동진단 SQL Injection 2021-03-07 윤창규 0.3 자동진단 SQLMap 사용법 표 1-1 문서 정보/수정내역 목 차 1. 개요 1.1 프로젝트 주제 1.2 프로젝트 추진 배경 및 목표 1.3 프로젝트 요약 2 SQL Injection 개요 2.1 OWASP Top 10이란 2.2 SQL Injection 취약점이란? 2.3 SQL Injec.. 2021. 5. 15.

ARP 스푸핑 ARP 스푸핑이란? ARP IP 주소 값으로 MAC 주소 값을 알아내는 프로토콜이다. 여기서 ARP 스푸핑이란 MAC 주소를 Spoof(도용하다)하는 것이다. 예를 들어 아래 그림과 같이 희생자, 공격자, 웹 서버가 있다고 가정하자.(모두 같은 네트워크에 있다고 가정한다.) 희생자 IP: 192.168.0.7, 윈도우 10 공격자 IP: 192.168.0.4, Kali linux 2021.1 웹서버 IP: 192.168.0.5, Bee box v1.6 희생자 PC는 웹 서버에 접근하기 위해 웹 서버의 MAC 주소를 ARP 테이블에서 찾는다. 만약 ARP 테이블에 없으면 브로드캐스트로 해당 ip를 가진 장치를 찾고 MAC 주소를 알아낸다. 여기서 공격자가 희생자 PC에 웹 서버의 MAC 주소가 공격자의 M.. 2021. 5. 15.

이전 1 다음

티스토리툴바