본문 바로가기

분류 전체보기151

[UNIX] U-21 r 계열 서비스 비활성화 U-21 r 계열 서비스 비활성화항목중요도 : 상1. 취약점 개요▶ 점검내용 :  r-command 서비스 비활성화 여부 점검▶ 점검목적 :  r-command 사용을 통한 원격 접속은 NET Backup 또는 클러스터링 등 용도로 사용되기도 하나, 인증 없이 관리자 원격접속이 가능하여 이에 대한 보안위협을 방지하고자 함▶ 보안위협 · rsh, rlogin, rexec 등의 r command를 이용하여 원격에서 인증절차 없이 터미널 접속, 쉘 명령어를 실행이 가능함▶ 참고※ r-command: 인증 없이 관리자의 원격접속을 가능하게 하는 명령어들로 rsh(remsh), rlogin, rexec, rsync 등이 있음 2. 점검대상 및 판단 기준▶  대상 :  SOLARIS, Linux, AIX, HP-U.. 2024. 12. 23.
[UNIX] U-20 Anonymous FTP 비활성화 U-20 Anonymous FTP 비활성화항목중요도 : 상1. 취약점 개요▶ 점검내용 :  익명 FTP 접속 허용 여부 점검▶ 점검목적 :  실행중인 FTP 서비스에 익명 FTP 접속이 허용되고 있는지 확인하여 접속허용을 차단하는 것을 목적으로 함▶ 보안위협 · Anonymous FTP(익명 FTP)를 사용 시 anonymous 계정으로 로그인 후 디렉터리에 쓰기 권한이 설정되어 있다면 악의적인 사용자가 local exploit을 사용하여 시스템에 대한 공격을 가능하게 함▶ 참고※ Anonymous FTP(익명 FTP): 파일 전송을 위해서는 원칙적으로 상대방 컴퓨터를 사용할 수 있는 계정이 필요하나 누구든지 계정 없이도 anonymous 또는 ftp라는 로그인 명과 임의의 비밀번호를 사용하여 FTP를 .. 2024. 12. 23.
CLASS101 화이트햇 해킹, IT 취준생과 현직개발자를 위한 웹 해킹 입문 강의 공부4 사이트 : CLASS 101 강의명 : 화이트햇 해킹, IT 취준생과 현직개발자를 위한 웹 해킹 입문 공부 내용3. 웹해킹1) OWASP TOP10 알아보기사이트 : https://sucuri.net/RESOURCES -> GUIDE -> OWASP Top Security Risks & Vulnerabilities 2021 Edition 클릭 Injection : 공격자가 악의적인 데이터를 삽입하여 애플리케이션의 SQL, LDAP, XML 등의 쿼리를 변조하거나 실행시켜 시스템을 공격하는 취약점.Broken Authentication : 인증 시스템이 약하거나 잘못 구현되어 공격자가 사용자로 가장하거나 계정 탈취가 가능한 취약점.Sensitive Data Exposure : 민감한 정보(비밀번호, 신용카.. 2024. 12. 15.
CLASS101 화이트햇 해킹, IT 취준생과 현직개발자를 위한 웹 해킹 입문 강의 공부3 사이트 : CLASS 101 강의명 : 화이트햇 해킹, IT 취준생과 현직개발자를 위한 웹 해킹 입문 공부 내용2. 서버구축1) Ubuntu 설치Ubuntu 다운로드 : https://ubuntu.com/download/serverVMware 다운로드 : VMware Workstation Pro: Now Available Free for Personal Use - VMware Workstation Zealot VMware를 설치 후 VMware에서 Ubuntu를 설치하면 가상머신안에 설치가 가능함   2) Settingsapach2 : 웹사이트 구성php: 서버 측 스크립트 언어로서, 동적 웹 페이지를 생성하고 서버에서 실행mysql-server : database#apache2, php, mysql-s.. 2024. 12. 14.
CLASS101 화이트햇 해킹, IT 취준생과 현직개발자를 위한 웹 해킹 입문 강의 공부2 사이트 : CLASS 101 강의명 : 화이트햇 해킹, IT 취준생과 현직개발자를 위한 웹 해킹 입문 공부 내용1. 사전준비1) html : 문서 연결 마크test 사이트 : https://www.w3schools.com/ go to class101 test test2 test3   2) CSS : 사이트 디자인 담당 언어, style test 사이트 : https://www.w3schools.com/ test test2 test3   3) Javascript : 동적 움직임 담당(연산 가능)test 사이트 : https://www.w3schools.com/  4) javascript 응용   흠... javasc.. 2024. 12. 14.
CLASS101 화이트햇 해킹, IT 취준생과 현직개발자를 위한 웹 해킹 입문 강의 공부1 사이트 : CLASS 101 강의명 : 화이트햇 해킹, IT 취준생과 현직개발자를 위한 웹 해킹 입문  목적모의해킹이란 뭘까? 궁금증에 강의를 들었습니다. 강의 선택 이유CLASS101 1년 구독자(이미 구독자이므로 무료!) 였고,리눅스 + DB + 모의해킹 까지 이렇게 하는 강의가 듣고 싶었으며,마지막에 모의해킹까지 해본다는 점에서 1석3조! 라는 생각에 이 강의를 선택했습니다. DB는 사실 다뤄본적이 없어서 기초부터 시작하기엔 시간이 너무 소요되기때문에 실무와 최대한 연관된 부분이 무엇일까 고민하다가 찾게된 강의입니다.DB를 기초부터 배우고자 하면.. 비용적인 부분과 시간적, 위치적 문제로 인해 듣기가 쉽지않은 상황입니다. 그리고 마침 저의 리눅스서버의 에러로 인해.. 새로운 리눅스서버의 OS를 선택.. 2024. 12. 9.

티스토리툴바