ysuekkom의 IT study note

개인 공부 기록용 aws waf 공격 및 방어 실습 따라하기 (sessin.github.io) CloudFormation로 생성한 DVWA 웹 서버를 공격 대상으로하는 모의 웹 공격 실습을 따라해보자! -웹 어플리케이션: DVWA(웹 취약점에 대한 공격 및 방어 기술 교육에 사용되는 오픈소스) -공격 방식: SQL injection Attack, XSS Attack -특정 국가 요청 차단 테스트를 위한 Chrome extension 설치 필요 I. 실습 환경 구축 AWS 콘솔로 접속하여, 리전을 서울로 선택, EC2 키페어를 생성한다. >EC2 대시보드 > 키 페어> 키 페어 생성 키페어명 waf-lab-seoul 키페어 유형 RSA 프라이빗 키 파일 형식 .pem 다음으로, CloudFormation ..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain1 Security & Risk Management 1-5 IX. 사회공학(Social Engineering) 5. APT(지능형 지속 위협): NW/공격 파트에서 자세히 5.1 A.P.T(SandBoxing 대응) -Advanced: 공격자의 정교함을 의미 -Persistent:공격자들은 물러섬 없이 끊임없이 시도함을 의미 -Threat: 공격자들은 뚜렷한 목적을 가지고 있기 때문에 위협이 됨을 의미 5.2 방어법 - 출제* **keyword: 아웃바운드 트래픽에 집중, End point관리, Defense in depth X. 침투테스트 1. 침투테스트 개요 -출제** 1.1 침투테스트 성공 요소 -경영..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain1 Security & Risk Management 1-3 VI. 인적 자원 보안 1. 인적 관리의 개요 기업의 정보 시스템과 관련된 모든 직원들과 외주직원, 퇴직자들은 직무상 알게되었던 정보 시스템 관련 비밀을 지킬 의무가 있음을 주지 시키고 그 내용을 담고 있는 서약서에 서명하도록 한다. 모든 직원과 외주사들은 작업을 마무리할 때 기업의 소유물을 반환해야 하며, 이는 시스템 권한, 건물 출입 및 접근 권한 모두를 포함한다. 2. 고용 과정에서의 보안 2.1 직위 정의: 직무분리, 최소권한의 원칙 **주의: 직무 순환, 최소권한은 답이 아님 -직무 분리, 최소권한의 원칙이 답이 되는 경우 5가지(1.Dat..

개인 공부를 위한 기록용으로 일부 과거 자료 이전 AWS EC2 인스턴스를 생성하고, 연결하기 위해 아래와 같이 수행한다. teminal 접속 후, EC2 생성 시 저장했던 key가 있는 경로로 이동 (Desktop 바탕화면에 aws 폴더를 만들고 해당 폴더에 저장했을 경우 아래와 같이 이동 후, 파일 확인) UserName@use-iMac ~% cd /Users/UserName/Desktop/aws UserName@use-iMac aws % ls -al >>저장했던 key 확인 가능(ex. web_ubuntu_key.pem) >>키를 공개적으로 볼 수 없도록 권한 변경 설정(3) UserName@use-iMac aws % chmod 400 web_ubuntu_key.pem ssh 접속 시도(4) Use..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain1 Security & Risk Management 1-2 IV. 글로벌 법과 규제 이슈, 전문가 윤리 [컴퓨터 범죄] 1. 컴퓨터와 연관된 범죄[미연방법] 1.1 Data Diddling(Input tampering): 대응책 출제 빈도 높음 고의적으로 데이터를 변경/위조 할 목적으로 잘못된 데이터 값을 입력하는 것(내부자 소행 가능성이 높음) -대응책: 직무분리와 최소권한의 원칙 Hash Total(무가치한 숫자(사번, 군번 등)의 합으로 탐지하는 방법) Financial Total(금전적 합으로는 에러나 오류를 잡아낼 수 없음) ex. 100만원 PC 100대를 1억에 주문 -> 출고사 ERP 상에 8..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain1 Security & Risk Management 1-1 I. 보안의 구성 요소 -보안 목적: Inter-dependencies(상호의존적): Assurance 1. 보안 목표 1.1 기밀성(Confidentiality) **keyword: sensitive, stringent, stringency(엄중) —군 기밀 데이터와 연관 *위협요소: 스니핑(도청) / 트래픽분석(-트래픽 패딩) *대응책: 암호-ESP(EST오타), VPN(트래픽 패딩) Q) 패딩을 삽입함으로써 예방할 수 있는 것은? a.트래픽 분석 1.2 무결성(Integrity) **keyword 완전/정확 —무결성을 위협하는 요소는 중간자공격..

CISSP(Certified Information System Security Professional) 자격증은 조직의 전반적인 보안 상태를 설계, 운영 그리고 관리하기 위해 요구되는 정보보안전문가 자격증이다. 심도있는 기술 및 관리 지식과 경험이 필요로 되는 자격증으로 총 8개 도메인으로 구성되어 있으며, CISSP자격증 취득 시 아래 8개 도메인에 대한 전문성이 인증된다. -Security and Risk Management -Asset Security -Security Architecture and Engineering -Communication and Netwrok Security -Identify and Access Management -Security Assessment and Testing ..

[linux 기초] 명령어 실습편 - 초간단 쉘 스크립트 작성IIII -대화식 쉘스크립트 구성 개인 공부를 위한 기록용으로 일부 과거 자료 이전 ###간단 쉘 스크립트 -조건문/반복문 -함수/배열 -리다이렉션의 활용 -대화식구성/메뉴구성 사용자 입력 처리 쉘 스크립트 작성 -반복/조건문을 이용한 정해진 숫자 맞추기 게임 -시스템 상태 조회 쉘 스크립트 작성 리눅스 명령어 기본/실습편에서 익힌 기본적인 명령어를 통해 기초 대화식 쉘 스크립트 작성 실습을 해보자 입출력을 입력받고, 해당 내용을 GUI로 출력하는 실습까지 본 포스팅에서 다룰 예정이다! ###대화식 쉘 스크립트 -쉘 스크립트 실행 후 사용자에게 입력을 받은 숫자/문자를 처리함 >vi read_test.sh >read -p 옵션 사용 --> 입력..

[linux 기초] 명령어 실습편 - 초간단 쉘 스크립트 작성III -함수/배열, 리다이렉션 개인 공부를 위한 기록용으로 일부 과거 자료 이전 ###간단 쉘 스크립트 -조건문/반복문 -함수/배열 -리다이렉션의 활용 -대화식 구성/메뉴구성 ###function 함수 function 함수명 { 명령어 } 아래와같이 편의식으로 사용도 가능함. 함수이름() { 명령어 } >반복해야할 작업을 함수로 만들어두고 간편히 함수를 호출하여 사용함(반복함) >반복되는 라인을 function line으로 함수선언, 필요시마다 함수명 line으로 호출하여 사용 >chmod 700 example.sh >./example.sh 라이브러리로 사용할 함수 모음 만들기 >vi calc >>0으로 나눌 경우 나눌 수 없음 안내 사칙 연..

[linux 기초] 명령어 실습편 - 초간단 쉘 스크립트 작성II -조건문/반복문 개인 공부를 위한 기록용으로 일부 과거 자료 이전 ###간단 쉘 스크립트 -조건문/반복문 -함수/배열 -리다이렉션의 활용 -대화식 구성/메뉴구성 이전 포스팅에서 다뤄봤던 아주 기초적인 명령어를 바탕으로, 간단 쉘 스크립트를 작성하는 실습을 진행한다. Path: /root/SHELL >vi helloworld.sh >실행 에러 이유: 현재 위치인 /root/SHELL이 PATH에 등록되어있지 않기 때문 >./helloworld.sh 로 실행하거나, 풀 path사용하여 /root/SHELL/helloworld.sh 로 실행해야 함 >/root/SHELL/helloworld.sh 로 실행 시, 허가거부 에러 발생 실행권한을 부여..