본문 바로가기

모의해킹 (WAPT)175

취약한 DMARC 보안 정책을 악용하여 스피어 피싱 활동을 마스킹 지난 5월 미국 연방수사국(FBI), 국가안보국(NSA), 그리고 미국 국무부가 공동으로 발행한 보고서의 주요 목적은 북한의 Kimsuky 사이버 행위자들이 DMARC(Domain-based Message Authentication, Reporting and Conformance) 정책 설정 오류를 이용하여 사회 공학적 기법을 숨기는 시도를 강조하는 것입니다. DMARC 정책이 제대로 구성되어 있지 않으면, 악의적인 사이버 행위자들이 합법적인 도메인의 이메일 교환처럼 위장하여 스푸핑 이메일을 보낼 수 있습니다.주요 내용은 다음과 같습니다.배경: 북한의 Kimsuky 그룹은 최소 2012년 이래로 활동해왔으며, 북한 정부의 정찰총국(RGB)에 속해 있습니다. 이들의 주된 임무는 정책 분석가들을 해킹하여 북.. 2024. 6. 26.
워크플로우 자동화 툴을 통한 취약점 점검 및 대응 자동화 수행 n8n은 워크플로우 자동화 툴로, 다양한 API, 데이터베이스, 그리고 시스템과 연동하여 복잡한 작업을 자동화할 수 있습니다. 여러분이 말씀하신 서버 취약점 점검 결과를 분석하고 처리하는 것도 n8n을 활용하여 가능합니다. n8n을 사용하여 보안 취약점 데이터를 처리하는 기본적인 접근 방식은 다음과 같습니다.데이터 수집: n8n은 HTTP 요청, 데이터베이스 쿼리, 파일 읽기 등 다양한 방법으로 취약점 점검 결과 데이터를 수집할 수 있습니다.데이터 가공: 수집한 데이터에 대해 JavaScript 코드 노드를 사용하거나 내장된 데이터 변환 기능을 사용하여 필요한 가공을 수행할 수 있습니다. 예를 들어, 동일한 유형의 취약점을 통합하거나, 특정 조건에 따라 불필요한 항목을 제거하는 작업 등을 자동화할 수 있.. 2024. 6. 9.
Kubernetes 환경에서 OWASP ZAP 동적 스캔환경 구성 OWASP ZAP을 Kubernetes 환경에 구축하고 관리하는 전체 프로세스를 설명드리겠습니다. 이는 Helm 차트를 이용한 설치부터 스캔 설정, 동적 컨테이너 배포, 결과 리포팅까지의 과정을 포함합니다.1. 사전 준비먼저 Kubernetes 클러스터와 Helm이 설치되어 있어야 합니다. Kubernetes 클러스터는 v1.11.0-0 이상 버전이 필요합니다.curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash2. OWASP ZAP Helm 차트 설치SecureCodeBox 프로젝트의 zap-advanced Helm 차트를 사용하여 OWASP ZAP을 설치합니다. 이 차트는 필요한 모든 종속성과 함께 ZAP을 Ku.. 2024. 5. 26.
사용자 세션을 장악하는 세션 고정(Session Fixation) 공격 기법 웹 보안은 공격자로부터 사용자의 데이터를 보호하고, 시스템의 무단 접근을 차단하기 위해 필수적입니다. 세션 고정과 같은 공격은 사용자의 세션을 탈취하여 민감한 정보에 접근하거나 권한을 부여받지 않은 행동을 할 수 있게 합니다. 이를 방지하기 위해, 다음과 같은 배경 지식과 대응 방안, 그리고 유사 위험의 모니터링 및 관리 전략을 제시합니다.배경 내용세션 고정 공격은 공격자가 임의의 세션 ID를 생성하거나 선택하여 사용자에게 강제로 사용하게 만든 후, 사용자가 해당 세션 ID로 인증 절차를 완료하면 공격자가 해당 세션을 탈취하는 공격입니다. 공격자는 이를 통해 사용자의 인증된 세션을 제어할 수 있게 됩니다. 이 공격의 핵심은 웹 애플리케이션의 세션 관리 취약점을 이용하는 것입니다.대응 방안1. 세션 관리 .. 2024. 5. 23.
SAST DAST IAST 애플리케이션 보안 테스트 방법론 애플리케이션 보안 테스트 기술 선택은 많은 요소에 의존하며, 단순히 '최고'라고 여겨지는 기술을 선택하는 것이 아니라 조직의 특정 요구사항, 리소스, 그리고 개발 및 운영 환경을 고려해야 합니다. SAST(Static Application Security Testing), DAST(Dynamic Application Security Testing), 그리고 IAST(Interactive Application Security Testing)는 각각 고유의 장점과 한계를 가지며, 이들 기술은 서로 대체하는 것이 아니라 보완적으로 작동할 수 있습니다.SAST (Static Application Security Testing)장점: 코드가 실행되지 않기 때문에 개발 초기 단계에서 사용할 수 있으며, 코드의 정적.. 2024. 4. 25.