Security Onion은 리눅스 기반의 네트워크 보안 모니터링[NSM] + 침입탐지시스템[IDS] 역할 을 할 수 있는 툴이다. 분석과 탐지의 툴을 각각 번거롭게 설치할 필요없이 시큐리티어니언은 수집, 분석, 탐지 시스템을 모두 통합하여 지원하는 장점을 가진다. 여기로 가면 다운로드 받을 수 있다. https://securityonionsolutions.com/software Security Onion Solutions Security Onion and the tools we integrate are all open to the public, written by members of the cyber security community. Source code is available in GitHub fo..

# fragentation MTU보다 작은 크기로 분할을 하는 것을 단편화라고 한다. MTU가 큰 네트워크에서 MTU가 작은 네트워크로 데이터그램이 전송될 경우 나누어 보내져야한다. 단편화한 후 수신지에서는 재조립을 수행해야된다. 추가적으로 이 단편화를 재조립하는 과정에서 수신자가 재조립이 어려운 단편화를 재조립하면서 다운 되는 단편화 공격을 할 수 도 있다. ipv4헤더를 보면 2번째 라인들이 단편화와 관련된 필드들이다. 이 단편화는 L4에서 할수도 있고 L3에서도 할 수 가있다. 하지만 패킷이 더 많이 붙는 L3보다 L4에서 단편화 하는 것이 오버헤드가 적다. 또한 만약 L4에서 단편화를 못했다 하더라도 L3에서 할 수 있기때문에 L4에서 단편화 하는 것은 필수가 아니다. 3개의 필드를 정리해보면 아..

# nmap은 포트스캐닝 툴로서 호스트, 네트워크를 스캐닝 할 때 유용한 툴이다. 스캔옵션중에 -sT라는 옵션이 있는데 스캔옵션 내용 -sT connect()함수를 이용한 open스캔 -sF 세션을 성립시키지 않는 TCP syn스캔 -sN Fin패킷을 이용한 스캔 -sX Null패킷을 이용한 스캔 -sU XMas패킷을 이용한 스캔 -sA UDP 포트 스캔 -sS Ack 패킷에 대한 TTL값의 분석 #nmap -sT[대상IP] 만약 Target의 포트가 열려있는 경우 SYN/ACK 패킷을 수신함 → SYN/ACK에 ACK패킷을 전송해 연결을 완료 → 스캔하고자 하는 포트에 접속을 시도해 완전한 TCP 연결을 맺어 신뢰성 있는 결과 도출[단점으로는 이 방식은 속도가 느리고 로그를 남기므로 탐지가 가능함] 먼..

# SAST VS DAST SAST DAST 화이트 박스 보안 테스트 테스터는 기본 프레임워크, 설계 및 구현에 액세스할 수 있습니다. 응용 프로그램은 내부에서 테스트됩니다. 이러한 유형의 테스트는 개발자 접근 방식을 나타냅니다. 블랙박스 보안 테스트 테스터는 애플리케이션이 구축된 기술이나 프레임워크에 대한 지식이 없습니다. 응용 프로그램은 외부에서 테스트됩니다. 이러한 유형의 테스트는 해커 접근 방식을 나타냅니다. 소스 코드가 필요합니다 SAST는 배포된 애플리케이션이 필요하지 않습니다. 애플리케이션을 실행하지 않고 소스 코드나 바이너리를 분석합니다. 실행 중인 애플리케이션 필요 DAST에는 소스 코드나 바이너리가 필요하지 않습니다. 어플리케이션을 실행하여 분석합니다. SDLC에서 조기에 취약점을 찾습..

# file upload 파일 업로드 취약점은 파일을 업로드 하는 기능에 보안이 잘 적용되어 있지 않을때 발생하는 보안 취약점입니다. 게시판에 글을 업로드하거나 사진 목록에 이미지 파일을 업로드하는 경우인 사례이며 공격자는 이러한 취약점을 이용하여 웹쉘이라는 악성코드를 심어 업로드하여 해당 시스템을 공격할 수 있습니다. 대략적이 공격 프로세스는 악성파일을 업로드해 공격할 사이트의 서버에 저장 -> 해당 악성파일을 다운로드 & 실행 시켜 시스템에 침투하는 방식입니다. # low 이미지 파일만 업로드 가능한 것처럼 보이는데 low레벨에서는 딱히 구분을 안하는 것 같습니다. 테스트를 위해 업로드 할 shell.php 생성 -> Get함수로 cmd변수의 값을 받아 시스템과 관련된 명령어를 쓸 수 있도록 php코..

# disbuster OWASP 오픈 소스 프로젝트 일환으로 웹 서버에 관한 디렉토리, 파일 그리고 무차별 대입공격(Brute Force)를 테스트 하기 위한 도구로서 공개된 디렉토리 취약점 또는 접근할수있는 디렉토리가 노출된 취약점을 테스트 할때 적합함. DVWA 환경에서 테스트를 진행중... cf) DVWA -> 웹 취약점을 연구 할 수 있도록 취약하게 설정되어 있는 웹 어플리케이션 서비스 환경 dirbuster을 명령하고 Target URL부분에 ip주소와 포트번호입력 워드파일을 불러오기 위해 칼리리눅스 / -> urs -> share -> disbuster로 이동 wordlists로 이동하면 웹상에서 많이 사용되는 경로들을 만들어놓은 파일들이 있음. 여기서 medium을 선택한 후 start 선택..