분류 전체보기

    ModSecurity 6장_응답 데이터 분석
    Network

    ModSecurity 6장_응답 데이터 분석

    ◼ 비정상적인 응답 헤더 탐지 : 아웃바운드 응답 헤더를 검사할 때 중요하게 봐야할 부분은 HTTP 상태 코드. HTTP 응답 분할 공격,, 악성코드 리다이렉션 공격 세 가지이다. 먼저 HTTP 상태 코드는 클라이언트에게 트랜잭션에 대한 일반적인 상태 정보를 제공한다. 보안 관점에서, 보호되는 웹 애플리케이션에서 400번대 또는 500번대의 상태 코드가 생성된다면, 이는 문제가 있거나 실패한 작업이 있다는 의미이므로 경고가 발생하기를 원한다. 아래는 HTTP 상태 코드 목록이다. ko.wikipedia.org/wiki/HTTP_%EC%83%81%ED%83%9C_%EC%BD%94%EB%93%9C HTTP 상태 코드 위키백과, 우리 모두의 백과사전. 둘러보기로 가기 검색하러 가기 아래는 HTTP(하이퍼텍스트..

    ModSecurity 5장_요청 데이터 분석
    Network

    ModSecurity 5장_요청 데이터 분석

    ◼ 요청 바디 접근 : 기본적으로 ModSecurity는 요청 바디 내용에 대해 접근, 처리, 분석을 하지 않는다. 요청 바디에 대한 정확석을 높이기 위해서는 모드시큐리티에 대해 몇 개의 지시자를 설정해야한다. 1) SecRequestBodyAccess가 ON으로 설정돼 있으면 ModSecurity가 요청 바디 내용을 버퍼에 보관하고 REQUEST_BODY 변수 및 ARGS 컬렉션 데이터의 내용을 채운다. 2) SecRequestBodyLimit는 요청 바디가 가질 수 있는 크기의 임계치를 설정한다. 만약 임계치보다 수치가 큰 요청이 들어오게 되면 413 HTTP 응답 상태 코드를 리턴한다. (요청 속성이 너무 클 경우) 3) SecRequestBodyNoFilesLimit는 위에 있는 SecReques..

    Java_컬렉션 프레임워크
    Java

    Java_컬렉션 프레임워크

    ◼ List 인터페이스 먼저, 스택은 상자를 쌓듯이 자료를 관리하는 방법이다. 중간에 있는 상자를 꺼내기 위해서는 무너질 수 있으니 마지막 상자를 먼저 꺼내야한다. Last In First Out으로 LIFO 방식이다. 큐는 '선착순'개념이다. 줄을 선 대기열처럼 먼저 추가된 데이터부터 꺼내서 사용하는 방식으로 First In First Out, FIFO 방식이다. ◼ Set 인터페이스 순서와 상관없이 중복을 허용하지 않는 경우에는 Set 인터페이스를 구현한 클래스를 사용한다. HashSet 클래스는 집합 자료 구조를 구현하며 중복을 허용하지 않는다. 아래와 같이 두번 추가를 하여도 결과적으로 출력해보면 한번만 나타나는 것을 확인할 수 있다. TreeSet 클래스는 데이터를 추가한 후 결과를 출력하여 정..

    대외활동) 코드잇 대학생 코딩 캠프 2기
    대외활동

    대외활동) 코드잇 대학생 코딩 캠프 2기

    대외활동을 찾아 보던 중, 마침 랜선 대외활동으로 진행 예정인 코드잇의 대학생 코딩캠프 2기를 발견하였다. 수업도 들으면서 공부도 하고, 다양한 혜택도 많이 준비되어 있길래 바로 지원을 하였다. 지원서를 제출하고 며칠 후, 코딩 캠퍼에 선정되었다는 안내 연락이 왔다. 온라인으로 진행되다보니 많은 사람이 활동할 수 있는 것 같았다. . 이용권을 구매하고 바로 다음 날, 안내문이 카톡으로 전송되었다. 코드잇 대학생 코딩캠프 2기는 네이버 카페와 오픈채팅방으로 대외활동이 진행된다. 카페에 가입해서 둘러보니 1기가 현재 열심히 활동 중인 것을 볼 수 있었다. 나 또한 안내에 따라 자기소개글을 올린 상태이고, 3월 2일부터 대코캠을 시작할 예정이다. 코드잇에는 생각보다 많은 강의가 있었고, 듣고 싶은 강의 수도 ..

    ModSecurity 4장_평판 및 서드파티 연관성
    Network

    ModSecurity 4장_평판 및 서드파티 연관성

    의심스러운 소스 식별 : 클라이언트의 위치를 식별하는 것은 사용자의 의도에 대한 단서를 제공할 수 있다. 클라이언트의 IP 주소 정보로부터 얻은 GeoIP 데이터를 사용하는 방법을 다룬다. IP 주소는 컴퓨터의 트래픽을 라우팅하는 데 사용된다. IP 주소가 정확도 논쟁의 여지가 있지만 지오로케이션을 통해 실제 지리적 위치와 연결할 수 있다. ◼ 클라이언트의 지리적 위치 정보 데이터 분석 : 지리적 위치를 식별하기 위해 맥스마인드 GeoIP 데이터 베이스 데이터를 사용한다. GeoIP 데이터를 ModSecurity에서 활용하려면 SecGeoLookupDb 지시자를 이용해 데이터를 불러와야한다. 위 지시자를 설정하고 나서 클라이언트와 IP 주소를 ModSecurity의 @geoLookup 연산자로 전달하는 ..

    ModSecurity 3장_독을 품은 폰(해커 트랩)
    Network

    ModSecurity 3장_독을 품은 폰(해커 트랩)

    허니트랩이란? : 허니팟 시스템이 실제 대상처럼 행동하도록 네트워크에 배포하는 별도의 호스트를 말한다면, 허니트랩은 웹 애플리케이션 전반에 걸쳐 심어져서 공격자에게 가상의 지뢰밭처럼 동작한다. 허니트랩의 장점은 정상적인 사용자로부터 악성적인 사용자를 빠르게 구별할 수 있다는 것이다. 세 가지 장점으로 높은 정확도의 경고, 적은 수의 경고, 미탐 식별이 있다. ◼ 허니팟 포트 추가 : 완전한 새로운 허니팟 시스템을 구축할 필요는 없다. 현재의 웹 서버 플랫폼을 재사용한다. 허니트랩을 구현하기 위해 HTTP 요청 트래픽을 받아들이는 네트워크 포트를 추가한다. 이 포트들은 정상적인 목적을 가지고 있지않아 수신한 어떠한 트래픽이라도 의심한다. ✔ 아파치 Listen 지시자 : 아파치의 위 지시자는 요청을 받아들..

티스토리툴바