2026/04 8
section 1 - 정보보호관리의 개념

정보보호의 목표Confidentiality (기밀성, 비밀성)인가된 사람, 인가된 프로세스, 인가된 시스템만 시스템에 접근해야함접근제어, 암호화Integrity(무결성)정해진 절차와 주어진 권한에 의해서만 정보가 변경되어야 함접근제어, 메시지 인증, 침입 탐지, 백업Availability(가용성)정보 시스템은 적절한 방법으로 작동되고, 권한이 주어진 사용자에게는 거부하면 안 됨백업, 중복성의 유지, 물리적 보호Authenticity, Authentication(인증성, 인증)진짜라는 것을 확인 및 신뢰할 수 있음메시지 내용과 출처 유효성 확인Accountability(책임추정성, 책임성)개체의 행동을 추적해서 찾아낼 수 있음부인 봉쇄, 억제, 결함 분리, 침입 탐지 예방, 사후 복구, 법적 조치정보보호 ..
보안기사 2026.04.27

starting point - Tier 0

4개 완!1. Meow1) VM : virtual machine2) Terminal/Console은 사용자의 입력을 받고 결과를 출력해 주는 '인터페이스' Shell은 사용자가 입력한 명령어를 해석해서 OS 커널에 전달하는 '프로그램'3) HTB labs에서는 openvpn 사용4) ping : tool to test our connection to the target with an ICMP echo request5) nmap : the name of the most common tool for finding open ports on a target6) telnet : a protocol used for remote access via port 23/tcp (unencrypted)2. Fawn1) ..
HTB 2026.04.16

Authentication vulnerabilities 3

1. 이론 : Vulnerabilities in other authentication mechanisms사용자가 자동 로그인을 키는 경우(= 로그인 유지하기)는 보통 쿠키 값을 저장하여 컴퓨터 브라우저 확인.따라서 보안을 위해서1) 쿠키 값에는 비밀번호 내용 들어가면 안 됨.2) 쿠키 값은 base64와 같은 단순 양방향 인코딩으로 암호화 하면 안 됨.즉, 쿠키 값 유추할 수 없도록 쿠키 생성 방식에 관련된 내용을 비밀로 해야함. (해당 내용 파일도 숨겨야함)3) XSS가 가능한 경우, 공격자는 다른 사용자의 "로그인 유지" 쿠키를 탈취하고 이를 통해 쿠키 생성 방식을 추론할 수 있음.XSS는 막아야 좋긴하지.. 2. 이론 : 비밀번호 재설정사용자가 비밀번호 재설정을 요청했을 때 크게 2가지 방법이 있음..
스터디/Authentication vulnerabilities 2026.04.14

Authentication vulnerabilities 2

1. 실습 : Lab: Username enumeration via response timing해당 실습은 ID가 일치한데 비밀번호가 틀릴 경우, 응답시간이 다른 것을 이용한다.대신 비밀번호는 100자 이상 매우 길게 작성하여 ID가 있을때만 응답이 오래걸리는 취약점을 이용한 것이다.추가로 동일 IP에 대해서 차단조치가 시행된다.- solution우선, ID와 비번 입력에 대해서는 기존의 intruder 기능을 사용하면 된다. 쉬움.내가 어려움을 겪었던 점은 IP를 어떻게 바꾸는가? 였는데, 이는 X-Forwarded-For 헤더를 이용하면 되는 것이었다... 몰랐음;; X-Forwarded-For 헤더 설명: 프록시 서버나 로드 밸런서를 거쳐 웹 서버에 접속하는 클라이언트의 원래 IP 주소를 식별하기..
스터디/Authentication vulnerabilities 2026.04.13
1
더보기

티스토리툴바