본문 바로가기

분류 전체보기198

8월 1주차 공부정리 이번 주 달성 학점은행제 강의 종료 및 기말고사 완료 학점은행제를 계속할지 말지 고민이 많았는데 우선은 최소한의 투자로 학사를 하나 받아둬서 나쁠 건 없겠다는 생각 보안프로젝트 수강 시작 1주차 / 도커 환경 이해 수강 완료 (1주차 과제는 차주 중에 제출 예정) 차주 목표 보안프로젝트 2주차 수강 및 과제 제출 학점은행제 다음 학기 수강 신청 ELI 코스 필요 서류 및 납부 완료 루틴 수립하기 운전 면허 교환 소감 생각 이상으로 이사 온 동네가 살기 좋다. 날씨, 인프라, 좋은 사람들 내가 생각했던 것보다 더 과분하게 주어진 것들이 많다. 어느정도 생활은 자리 잡았고 이제는 루틴을 수립하고 다듬어 나가는 것이 중요하다. 삶이 참 단순해 졌다. 한국에 두고 온 걱정거리들은 내가 어찌 할 수 없는 것 뿐이.. 2022. 8. 7.
5. 도커 컨테이너 활용 현재 대부분의 서비스들이 클라우드로 넘어가면서 도커를 이해하지 않고는 클라우드 환경을 이해 할 수 없게 되었기 때문에 모의 침투에서도 해당 서비스에 대한 이해가 필요하다. 0. 도커(Docker) - 컨테이너 기술을 지원하는 프로젝트 (컨테이너 기술의 사실 상 표준) - 다양한 운영체제에 사용 하지만 주로 리눅스에서 사용 - Docker Engine 위에 프로세스 단위로 배포된 이미지를 실행하는 가상화 환경 - 서비스 단위로 자원을 줄이거나 확장 시키는 스케일링이 가능 - 라이브러리 종속성을 고민하지 않고 설치 가능 1. 도커컨테이너 활용 - Registry : 컨테이너 이미지들을 데이터 베이스를 통해 제공 누구나 이미지를 만들어 올리는 PUSH 필요한 이미지를 가져가는 PULL이 가능하다. - 회사나 .. 2022. 8. 7.
4. Kali Linux 기초 Kali Linux 2022ver VMware 상에서 설치 깔끔한 UI에 놀랐다. 이렇게 세련된 디자인 이라니... 0. 모의 해킹에서 Kali Linux를 사용하는 이유 및 주요 공부 방향 - Pentest의 절차에 따라 도구를 정리해서 설치되어 있음 (오픈 소스 - 파이썬, Perl, 루비 기반) - 리눅스(Debian) 명령어, 보안 중심 / 메타스플로잇 - 공격코드 - 깃허브(github) - 공격코드 - exploit-db.com - 공격코드 1. Kali Linux 기본 명령어 기존 리눅스에 동일한 내용은 언급만 dpkg : 패키지 파일 관리 dpkg -l : 설치된 패키지 확인 dpkg -l | grep z* : 설치된 패키지 grep으로 찾기 dpkg -i [파일이름] : 패키지 설치 dp.. 2022. 8. 4.
3. 모의해킹 실무환경 구축 0. 칼리 리눅스 설치 및 기본 셋팅 2006년 backtrack >> 2013년 칼리리눅스로 정립되고 안정화 됨 VM ware 기반에서 Kali Linux 2022 / 2019 버전 설치 (공격 도구가 포함되어 있음) https://www.kali.org/get-kali/#kali-virtual-machines Get Kali | Kali Linux Home of Kali Linux, an Advanced Penetration Testing Linux distribution used for Penetration Testing, Ethical Hacking and network security assessments. www.kali.org VMware 64bit로 이미지 파일 받아서 사용 초기 아이디 및.. 2022. 8. 3.
2. 웹 취약점 체크리스트 / 최신 동향 수집 / 버그헌팅 취약점 체크 가이드 1) OWASP Testing Guide v4 - 웹 취약점 진단 가이드의 표준 2) 주요정보통신기반시설 기술적 취약점 분석 평가 상세가이드 3) KISA 한국인터넷진흥원 각 개발 언어에 따른 시큐어 코딩 가이드 최신 동향을 수집하는 방법 1) 구글 알리미 - 관련 키워드 입력으로 정리된 검색 내용을 메일로 받을 수 있음 2) 트위터 - 보안 관련 일하는 사람들 Follow 꾸준하게 하루 한번 정리된 내용 보기 모의 해커 vs 범죄자 회사와 '계약'을 하고 허락하에 진행을 하냐 그렇지 않냐의 차이 웹 포트 스캐만으로도 공격으로 간주 모의해킹 시 서비스의 가용성을 유지해줘야함 (서비스에 장애를 유발하면 안됨) 버그헌팅(버그 바운티) 프로그램 이해 - 웹서비스 및 소프트웨어에 대한 취약점.. 2022. 8. 2.
1. 모의 해킹(Penetration Test) 개념 모의 해킹(Penetration Test) : 침투, 침입, 침해 + Test (Pentest sqli - 구글링 시) - 해커와 동일한 환경과 조건, Hacking Skill을 가지고 실제로 시스템의 취약성을 통해 시스켐이 어떤 방식으로 침해 될 수 있는 지 점검 모의 해킹의 대상은 계속 확대되고 있음 (IoT, IoE.. IT 인프라가 계속 구축되고 있음) - 웹 >> 모바일 >> IoT 기기들 모의 해킹을 하는 이유 - 정보보호에 관련 된 법률에 명시가 되어 있기 때문에 (ISMS - 정보보호관리체계 인증 의무화) 정보보호관리체계 전체에서 모의해킹이 차지하는 중요도가 상당함 - 해킹 사고가 발생하면 기업이 입는 타격이 커짐 (이미지 손실, 법적 처벌) 모의 해킹 방법론 (국제적) - 실무에 사용되는.. 2022. 8. 2.