Check Vulnerability4 소프트웨어 취약점 점검방법 1. 설계취약점 (1) Telnet이 평문으로 전송하는 것과 같이 만들 때 생긴 취약점입니다. 2. 구현취약점 (1) Telnet의 특정버전에서는 exit 후에도 환경변수가 유지되는 취약점입니다. (2) 아니면 다른사용자로 로그인을 할 수 있거나... 3. 취약점 유형 (1) 입력에 따른 데이터 흐름 (2) 신뢰관계 (3) 가정 (4) 인터페이스 (5) 환경 (6) 예외 조금 자세히 보면 (1) 입력에 따른 데이터 흐름(+버퍼오버플로우) AAAAAAAAAAAAAAAAAAAA....AAAAAAAAAAAAA와 같이 제한없이 입력을 받을 경우 메모리 오염이 발생하고 입력된 데이터는 많은 컴포넌트를 지나면서 변경될 것이고 그 데이터에 의해 공격이 이루어 질 수도 있습니다. 결국 그 데이터가 어떻게 흘러가는지 파.. 2019. 8. 6. 시스템취약점점검 1. 시스템 취약점점검 ▶ 보통 취약점진단 대상의 대부분은 웹이나 모바일이다. ▶ 또한 시스템취약점진단이나 어플리케이션 취약점진단을 가끔 하는구나.. 정도만 알고 있었다. ▶ 필자는 학생이지만 갑작스럽게 의뢰를 받게되어 보안담당자의 동행 하에 시스템 취약점진단을 실시하게 되었다. (1) 의뢰 [1] 비밀의뢰 ▶ 진단한다는 것 자체도 비밀로 붙인 상태로 진단하게 되었다. ▶ 비밀리에 진단한다는 것에 대해 제약이 생각보다 많다.( [3] 참고) ▶ 기업의 서버개발자 및 담당자가 갑작스럽게 퇴사를 하게되어, 내부 시스템에 루트킷이나 백도어 유무에 대한 점검을 의뢰받았다. ▶ 필자는 진단하는 사람이기 때문에 이유가 궁금하긴 하지만 궁금해하지 않았다. ※ 정보보호개론 + 인적보안과 관련된 내용 중 퇴직할 때 입사.. 2019. 4. 26. Application 취약점[브로드캐스트] 1. 어플리케이션 취약점 점검 ▶ 먼저 [insecurebankv2]를 다운로드 받고 이 어플리케이션의 취약점 중 하나인 브로드캐스트의 취약점을 점검해보려고 한다. ▶ 안드로이드의 취약점점검은 대부분 화이트박스(소스를 보면서) 테스트이다. + 이유는? 이전 장에서 다룬 것과 같이 원본소스로 거의 복원이 가능하기 때문이다. (1) 환경구축 [1] 취약점을 점검할 수 있는 환경(OS) ▶ 필자는 Ubuntu_18.04로 진행했다. ▶ 이 환경을 점검PC라고 명명하려고 한다. ▶ JD-GUI, Bytecode-Viewer, apk-tools 정도의 점검 툴을 설치했다. ▶ 설치하는 방법 : [2] 점검 당할 환경(Android) ▶ 실제로 안드로이드 장비를 연결해서 하면 더욱 좋겠지만... ▶ 환경이 되지않아.. 2019. 4. 8. 안드로이드의 소스파일, 목적파일, 실행파일 1. 안드로이드의 파일 ▶ 파일확장자에 대한 소스파일, 목적파일, 실행파일 (1) .java [1] 자바로 프로그램을 작성한 경우 .java라는 확장자를 가진 소스파일이 생성된다. [2] 결국 프로그래머가 작성하는 소스라고 생각하면 된다. [3] javac 컴파일러를 사용해서 컴파일한다. (2) .class [1] .class 파일은 자바의 중간코드이다. [2] .java 파일을 컴파일한 바이트코드를 말하며 실행파일은 아니다. [3] C로 예를 들면 컴파일후 오브젝트파일이 생성되지만 이 파일이 실행파일이 아닌 것과 동일하게 생각해도 좋다. (3) .jar [1] 하나의 소스파일에 모든 명령을 작성할 수 없으므로 .class파일의 묶음 정도로 생각하면 된다. [2] .class를 모아놓았기 때문에 .dex.. 2019. 4. 1. 이전 1 다음