본문 바로가기

Security Project47

5. 도커 컨테이너 활용 현재 대부분의 서비스들이 클라우드로 넘어가면서 도커를 이해하지 않고는 클라우드 환경을 이해 할 수 없게 되었기 때문에 모의 침투에서도 해당 서비스에 대한 이해가 필요하다. 0. 도커(Docker) - 컨테이너 기술을 지원하는 프로젝트 (컨테이너 기술의 사실 상 표준) - 다양한 운영체제에 사용 하지만 주로 리눅스에서 사용 - Docker Engine 위에 프로세스 단위로 배포된 이미지를 실행하는 가상화 환경 - 서비스 단위로 자원을 줄이거나 확장 시키는 스케일링이 가능 - 라이브러리 종속성을 고민하지 않고 설치 가능 1. 도커컨테이너 활용 - Registry : 컨테이너 이미지들을 데이터 베이스를 통해 제공 누구나 이미지를 만들어 올리는 PUSH 필요한 이미지를 가져가는 PULL이 가능하다. - 회사나 .. 2022. 8. 7.
4. Kali Linux 기초 Kali Linux 2022ver VMware 상에서 설치 깔끔한 UI에 놀랐다. 이렇게 세련된 디자인 이라니... 0. 모의 해킹에서 Kali Linux를 사용하는 이유 및 주요 공부 방향 - Pentest의 절차에 따라 도구를 정리해서 설치되어 있음 (오픈 소스 - 파이썬, Perl, 루비 기반) - 리눅스(Debian) 명령어, 보안 중심 / 메타스플로잇 - 공격코드 - 깃허브(github) - 공격코드 - exploit-db.com - 공격코드 1. Kali Linux 기본 명령어 기존 리눅스에 동일한 내용은 언급만 dpkg : 패키지 파일 관리 dpkg -l : 설치된 패키지 확인 dpkg -l | grep z* : 설치된 패키지 grep으로 찾기 dpkg -i [파일이름] : 패키지 설치 dp.. 2022. 8. 4.
3. 모의해킹 실무환경 구축 0. 칼리 리눅스 설치 및 기본 셋팅 2006년 backtrack >> 2013년 칼리리눅스로 정립되고 안정화 됨 VM ware 기반에서 Kali Linux 2022 / 2019 버전 설치 (공격 도구가 포함되어 있음) https://www.kali.org/get-kali/#kali-virtual-machines Get Kali | Kali Linux Home of Kali Linux, an Advanced Penetration Testing Linux distribution used for Penetration Testing, Ethical Hacking and network security assessments. www.kali.org VMware 64bit로 이미지 파일 받아서 사용 초기 아이디 및.. 2022. 8. 3.
2. 웹 취약점 체크리스트 / 최신 동향 수집 / 버그헌팅 취약점 체크 가이드 1) OWASP Testing Guide v4 - 웹 취약점 진단 가이드의 표준 2) 주요정보통신기반시설 기술적 취약점 분석 평가 상세가이드 3) KISA 한국인터넷진흥원 각 개발 언어에 따른 시큐어 코딩 가이드 최신 동향을 수집하는 방법 1) 구글 알리미 - 관련 키워드 입력으로 정리된 검색 내용을 메일로 받을 수 있음 2) 트위터 - 보안 관련 일하는 사람들 Follow 꾸준하게 하루 한번 정리된 내용 보기 모의 해커 vs 범죄자 회사와 '계약'을 하고 허락하에 진행을 하냐 그렇지 않냐의 차이 웹 포트 스캐만으로도 공격으로 간주 모의해킹 시 서비스의 가용성을 유지해줘야함 (서비스에 장애를 유발하면 안됨) 버그헌팅(버그 바운티) 프로그램 이해 - 웹서비스 및 소프트웨어에 대한 취약점.. 2022. 8. 2.
1. 모의 해킹(Penetration Test) 개념 모의 해킹(Penetration Test) : 침투, 침입, 침해 + Test (Pentest sqli - 구글링 시) - 해커와 동일한 환경과 조건, Hacking Skill을 가지고 실제로 시스템의 취약성을 통해 시스켐이 어떤 방식으로 침해 될 수 있는 지 점검 모의 해킹의 대상은 계속 확대되고 있음 (IoT, IoE.. IT 인프라가 계속 구축되고 있음) - 웹 >> 모바일 >> IoT 기기들 모의 해킹을 하는 이유 - 정보보호에 관련 된 법률에 명시가 되어 있기 때문에 (ISMS - 정보보호관리체계 인증 의무화) 정보보호관리체계 전체에서 모의해킹이 차지하는 중요도가 상당함 - 해킹 사고가 발생하면 기업이 입는 타격이 커짐 (이미지 손실, 법적 처벌) 모의 해킹 방법론 (국제적) - 실무에 사용되는.. 2022. 8. 2.

티스토리툴바