푸르미르

shell_exec함수 실행 중 났던 오류다. 오류문을 살펴보니 sys.stdout.encoding에 의한 오류였다. 처음에는 str()로 감싸져 있는 형태가 아니였다. str로 감싸기 전의 오류는 TypeError: encode() argument 1 must be string, not None이였다. 참고로 encode()는 파라미터가 python2.7 기준으로 아래와 같다. 그렇다면 여기서 argument 1은 encoding파라미터라고 판단하였다. 그래서 sys.stdout.encoding를 만진거고 lookupError가 났다. https://soooprmx.com/%ED%8C%8C%EC%9D%B4%EC%8D%AC%EC%97%90%EC%84%9C-%ED%95%9C%EA%B8%80%EC%9D%B4..

별 지랄을 해도 안되는 문제가 있었다. 프로젝트 보안상 경로를 노출시키는 것은 위험할 것 같아서 가렸다. 저 위의 두가지 명령어 뿐아니라 권한을 주는 등 여러가지 시도를 해보았지만 php안에서 파이썬 스크립트를 실행하는, 그거 하나만큼은 절대 안되었다. 시스템명령어를 사용하면 잘되는데 딱, 파이썬 파일만 실행하면 되지 않았다. 이유도 모르고 시간도 없기에 우리는 다른 방법을 모색하기로 하였다. os는 윈도우2012v이다. https://www.geeksforgeeks.org/php-shell_exec-vs-exec-function/ PHP | shell_exec() vs exec() Function - GeeksforGeeks A Computer Science portal for geeks. It con..

보통 icmp 페이로드 크기를 65000바이트 이상으로 설정하고 ip스푸핑 공격을 적용해 출발지 ip주소를 매 순간 임의로 변경해 전송한다. 수신축에서는 매번 분할 패킷을 재조립한뒤 icmp응답 패킷을 전송해야 하기 때문에 그만큼 과부하가 클 수 밖에 없다. 1. 공격자, 공격 대상자 서버 IP 조정 공격자/backbox 공격 대상자/xubuntu 2. 공격자 서버에 hping 설치 su - apt install hping 3. 공격자서버에서 xubuntu로 icmp날리기 28headers + 65000 data bytes 부분은 65000바이트의 icmp 페이로드를 생성한 뒤 8바이트의 icmp헤더와 20바이트 ip헤더를 붙였다는 내용을 의미한다. 4.wireshark로 65000data가 잘 갔는지 ..

응답 데이터 분석 웹 애플리케이션 보안제품, 절차, 도구들은 인바운드 데이터에만 너무 초점을 맞추고 있다. 그들은 인바운드 HTTP 요청 데이터에만 분서의 중심을 두고 아웃 바운드 HTTP응답은 본질적으로 무시한다. 이 전략에 대한 이론적 근거는 모든 인바운드 공격을 식별하고 차단할 수 있다면 아웃바운드 응답 문제에 대해 걱정할 필요가 없다는 무지한 신념이다. 웹 애플리케이션에 영향을 주는 모든 가능한 공격 방법을 간단히 차단할 수는 없으므로 이것은 무모한 패러다임으로 보인다. 관련된 예시로서 어떤 공격은 인바운드 공격 전송을 위해 HTTP조차 사용하지 않는다. 아웃바운드 응답 데이터를 분석하기 전에는 공격이 성공적으로 수행됐다는 것을 발견하지 못할 수 있다. 그래서 아웃바운드 데이터 내에 감염됐거나 설..

요청 데이터 수집 인바운드 요청 데이터에 대해 보안 분석을 하기 전에 모든 데이터 요소에 제대로 접근 할 수 있는지 확인해야 한다. 어떠한 잠재적인 공격 경로를 놓치지 않으려면 모든 요청 데이터에 적절한 가시성을 가지고 있는지 확인해야 한다. 요청 바디 접근 기본적으로 모드시큐리티는 요청바디 내용에 대해 접근, 처리, 분석을 하지 않는다. 공격자는 post바디 매개변수로 탐지를 쉽게 회피할 수 있기 때문에 미탐과 관련한 심각한 문제가 있다. 요청바디에 대한 통찰력을 얻으려면 모드 시큐시큐리티에 몇개의 지시자를 설정해야한다. 기본지시자 SecRequestBodyAccess: 만약 활성화되어있으면 모드시큐리티가 요청바디 내용을 버퍼에 보관하고 REQUEST_BODY변수 ARGS컬렉션 데이터의 내용을 채운다...

허니트랩 허니트랩은 웹 애플리케이션의 전반에 걸쳐 심어져서 공격자에게 가상의 지뢰밭처럼 동작한다. 어떠한 상호작용이나 변경도 허용하지 않았으므로 상호작용한다면 확실히 의심해볼 수 있다. 허니트랩의 진정한 가치는 정상적인 사용자로부터 악성적인 사용자를 빠르게 구별할 수 있다는 점에서 나온다. 허니트랩의 이점 1.높은 정확도의 경고 2.적은 수의 경고 3.미탐을 식별 허니팟 포트를 추가해보자. 완전히 새로운 허니팟 시스템을 구축할 필요없이 현재의 웹 서버의 플랫폼을 쉽게 재사용할 수 있다. HTTP요청 트래픽을 받아들이는 네트워크 포트를 추가함으로써 허니트랩을 구현 할 수 있다. 이 포트들은 정상적인 목적을 가지고 있지 않으므로 수신한 어떤 트래픽이라해도 의심을 한다. 아파치 Listen 지시자: 아파치의 ..

2장 취약점 확인 및 개선 웹 애플리케이션을 내부개발과 외부개발(상용 및 오픈 소스 애플리케이션 모두 포함)이라는 두가지 주요 개발 카테고리로 분류할 수 있다. 이 개발 카테고리는 취약점을 개선하기 위해 필요한 시간에 직접적으로 영향을 미친다. 가상 패칭 최근 웹 애플리케이션 방화벽에 일반적으로 사용되고 있다. 외부 패칭, JIT패칭 등 다양한 이름이 존재한다. 가상패칭은 알려쥔 취약점을 악용하는 것을 방지하기 위한 보안 정책 집행 계층이다. 악의적인 트래픽이 웹 애플리케이션에 전송되지 않도록 보안 집행 계층 트랜잭션을 분석해 전송중인 공격을 가로채는 방식으로 동작한다. 그 결과 웹 애플리케이션의 소스코드는 수정되지 않았지만 악성적인 시도는 실패하게 된다. 가상 패칭의 목표는 취약점의 노출된 공격 표면을..

1장 애플리케이션 요새화 프로덕션 환경의 네트워크 전쟁터에서 웹애플리케이션을 준비하는 절차에 대한 내용이다. 2가지 절차만 소개하겠다. 실시간 애플리케이션 프로파일링 ModSecurity를 사용하여 루아API를 이용해 HTTP트랜잭션을 분석하는 방법 입력값 검증 화이트리스트 또는 보안 모델을 동적으로 생성하는 방법 이 보안 모델을 생성 후 외부의 보안 계층을 통해 애플리케이션의 중요한 요소에 대한 규칙을 적용하고 정첵을 위반하는 비정상적인 요청을 식별할 수 있게 한다. 영구 저장소를 생성하여 ModSecurity의 트랜잭션 후킹을 수행한다. 예시 클라이언트가 블로그에 댓글을 달 수 있는 워드프레스 애플리케이션 사용자가 댓글을 쓰고 Submit Comment 버튼을 클릭하면 웹 어플리케이션이 받은 http..

허니팟 관련 프로젝트를 위해 구입한 도서이다. ModSecurity를 활용한 웹 애플리케이션 방어 레시피는 라이언 바넷이라는 분이 쓰셨고 그 영문 서적을 천민욱이라는 분이 한글로 옮기셨다. 하............... 진짜 이 책으로 공부하다 울뻔했다. 소스코드 다운로드 링크로 갔더니 어떻게 다운받는지도 모르겠고 영문서적만 나온다. 작가이름, 연구팀 깃허브 찾아가도 소스코드는 눈을 씻고 찾아봐도 보이지 않았다. 나의 대학교 2년 간의 시간으로 갈고닦은 구글링 실력으로는 어림도 없었던 것일까 아님 그냥 소스코드가 없는 것일까. 이 책은 그리고 perl이나 php를 할 줄 알아야한다. 소스코드 봤는데 솔직히 뭔소린지 모르겠다. 다 필요없고 그냥 내가 바보고, 바보인 사람은 이 책 사지마라.

허니팟 프로젝트를 실행하는데 필요한 환경을 설정해보도록 하자. 먼저 우분투를 깔아야 하는데 이것은 너무나도 쉽게 다른 블로그들에서 설명을 해주니 스킵. 우분투에 먼저 아파치를 깔아줘야 되는데 오류가 발생하였다. 이러한 해결방법으로 역시 구글링이 짱이다. 먼저 sudo killall apt apt-get으로 kill해주는데 관련 파일을 찾을 수 없다고 뜬다. 그래서 다른 방법으로 lock 걸린 파일들을 제거해줬다. sudo rm /var/lib/apt/lists/lock, sudo rm /var/cache/apt/archives/lock, sudo rm /var/lib/dpkg/lock*를 해주고 sudo dpkg --configure -a를 해준후 다시 apt를 업데이트 시켜줬다. 그 후 다시 아파치를 ..