DDOS와 부하 DDOS는 공격 대상(서버 또는 서비스)이나 그 주변 인프라(네트워크)를 멈추게 하는 공격기법입니다. 요즘에는 워낙 네트워크 장치가 발전하여 수십TB 분량의 트래픽도 처리하는 업체도 있습니다. DDOS는 방식에 따라 네트워크(또는 라우팅)뿐만 아닌 서버를 멈추게도 만들 수 있습니다. DDOS공격을 막는다는 것은 어떤 형태로 들어와도 서비스가 멈추지 않으면 됩니다..(?) 즉, 서버/네트워크 환경이 압도적으로 크거나, 공격에서 서버가 멈추지 않게 거르(방화벽 등)는 방법뿐입니다. 예를들어, "블로그와 같은 정적인 페이지+평상시 부하량이 매우적다(1% 미만)" 라고 가정한 환경에서 한번 실행에 서버시간이 10ms도 소요되지 않는 페이지(또는 API)만 있다면 CPU와 네트워크의 성능에 따라 다르겠지만 방어수..
싹둑 서비스 가벼운 결함 공격 난이도 낮음 취약 정도 매우 낮음(스팸 증가 가능) 공격 난이도와 취약정도는 모두 낮은 수준으로 바로 고치지 않아도 되는 수준의 문제입니다. 예상되는 문제로는 봇(스팸) 정도의 문제가 있을 수 있습니다. 싹둑에서 URL입력 차단 기능에 허점이 한개가 있는데, 싹둑의 내부 검출식은 정확히 모르나, 트위치 채팅에 자동으로 링크를 만드는 regex식과 싹둑이 차단해주는 방식이 달라 발생하는 문제입니다. var s=/(?:(https?:\/\/)?((?:[\w#%\-+=:~]+\.)+[a-z]{2,10}(?:\/[\w./#%&@()\-+=:?~]*[^\.!,?])?))/; 위의 Regex식은 자바스크립트에서 표현되는 식으로 트위치의 URL링크 생성 표현식입니다. 싹둑은 !명령어로 명령어를 입력받습니다. !..
썸네일 이미지
프린트나이트메어(PrintNightmare) 임시 보안조치 방법 윈도우 업데이트시 보안업데이트가 실행되나, 윈도우 업데이트를 하지 못하거나.. (예를들어 서버나 끄지못하는 작업중인 PC등)에서 보안 조치방법을 설명하고자 글을 쓰게 되었습니다. 먼저 주의점을 확인하시고 실행하시기 바랍니다. 윈도우가 2021년 7월 1일 이후 업데이트 되었다면, 해결된 문제이므로 따로 건드릴 필요가 없습니다. 업데이트 기록은 "설정" - "업데이트 및 보안" - "업데이트 기록보기" 에서 확인가능합니다. 프린트를 사용하지 않는 방법 PrintNightmare는 인쇄 기능에 내재되어있던 문제입니다. 프린트를 쓰지 않는경우 아주 간단히 해결가능합니다. Power Shell을 검색하고, 우클릭하여 관리자 권한으로 열어줍니다. 다음의 코드를 실행합니다.Stop-Service -Name Spoo..
썸네일 이미지
보안 문제) 블로그유틸24 절대 쓰지마세요 저격글 같아서 안쓰고 귀찮아서 미루고.. 오래되었는데 이제는 써야될것같다. 해당 서비스에 제보하기도 애매한게 해당 서비스 운영자가 악용하기 제일 좋은 문제라 이용자가 안쓰는 편이 더 좋다고 생각해서 공개된 글로 올린다. 해당 사이트를 이용하기위해서는 교차도메인간 통신(CORS)보안정책을 꺼줘야된다. 이는 브라우저의 보안을 10년전으로 돌린다. 만약, 해당 툴을 이용했던적 있고, 설명에 따라 브라우저 설정을 변경한적 있다면 아래의 설정 방법을 통해 원래대로 설정해줘야한다. 인터넷 익스플로러 설정방법 설정의 인터넷 옵션에 들어간다. 도메인 간의 데이터 원본 액세스를 사용안함(기본값)으로 변경 도메인 간의 데이터 원본 액세스를 사용하는 브라우저는? 해커의 먹잇감입니다. 마음만 먹으면 악성 사이트 접속만으로 내..
썸네일 이미지
티스토리 API 보안 취약점 공격 난이도 쉬움 취약 정도 매우 높음 악의적 스크립트 삽입 (XSS) 글 암호화 (≒ Ransomware) 비밀글, 비공개 글 열람 광고글 삽입 모든 글 삭제 웜 형태로 배포 가능 사실상 계정탈취와 비슷한 수준 공격 흐름 (Flow) 등장 인물 : 피해자(A), 악의적 웹 사이트(티스토리가 아니어도 됨) 피해자(A)는 악의적 웹 사이트에 접속했습니다. (사이트는 피해자(A)의 티스토리 로그인 정보를 활용해 게시글을 열람/수정/삭제 할 수 있습니다.) 이 공격은 사용자측에서 사용자의 권한을 이용하여 서버를 속이는 형태의 과정으로 동작합니다. 악의적 사이트의 공격 과정 웹브라우저 상에서 로그인된 사용자의 access_token 획득하기 (로그인 되어있다면) GET 'https://www.tistory.co..
개발자는 해킹을 해본 적이 없다. 보안은 IT시대에 있어서 필수다. 이전에도 많은 곳에서 중요했을 수 있다.(전쟁, 첩보 등) 누군가는 뚫을것이고 누군가는 막는 역할일 것이다. 보안은 중요한데 쉬우면서도 어렵다. 설치형 프로그램 같은 경우 100% 보안을 장담할 수 없다. 왜냐면 설치를 했다는것은 동작 과정을 포함했다는 의미가 되는데 이를 분석한다면 어떻게 돌아가는지 파악이 되기 때문에 설치형 프로그램(예 : 게임)은 비정상으로 사용하는 사람이 있을 수밖에 없다. 통신과정이라면 어느정도 막을 수 있다. 모든 사용자 입력을 모니터링(방화벽)할 수 있기 때문에 공격을 방어할 수 있다. 네트워크 환경에서는 오픈된 공간이라 공격 시도가 많을 수는 있다. 그러나 대부분은 알려진 공격을 하며, 알려진 방법으로 막을 수 있다. 예를 들어 XSS 같은..
썸네일 이미지
티스토리 세션 탈취 보안 문제 공격 난이도 낮은 수준 취약 정도 최상 가능한 옵션 : 계정탈취(Account Takeover) 테스트 블로그에서 확인된 세션 탈취 예제 iframe 내부에 탈취한 세션이 표시된다. 찾아낸 계기는 이렇습니다. 포럼에서 글을 봤는데 크로스도메인 세션 문제로 보였습니다. 들어가서 쿠키를 봤다가 설정된 쿠키 규칙을 보고 만약 2차도메인을 루트로 만들고 서브도메인에서 세션을 확인하면 사이트 접속자의 세션을 탈취할수있지 않나 하는 생각이 들어서 테스트블로그로 확인을 해보았고 가능함을 확인하였습니다. 표준 웹 규격에서 도메인에 설정된 세션은 서브도메인과 공유하도록 되어있습니다. 설마 했지만 루트도메인으로 티스토리를 설정 후 서브도메인으로 iframe을 로드하면 당연히 세션이 전달됩니다. 공격 과정은 이렇습니다. 서..
썸네일 이미지
보안 뉴스) "Apple ID 로 로그인" 기능이 보안상 문제있었다고?! 본론 들어가기 앞서 상금($100,000)부터 보자면 버그 바운티로 10만 달러.. 엄청난 금액이다. 가격 책정은 결함의 정도 + 예상 피해 정도를 기준으로 책정되는데 글 작성일 기준 한화 1억 2천만원이다. 보통은 보상금액이 1천만 원을 넘기지 않는데 금액만 따져도 엄청난 보안 문제를 제보했다는 것을 알 수 있다. (네이버의 버그 제보는 최대 금액이 300만원.. 그것도 서버에 접근해 DB 탈취 수준이어야 최대 금액이다.) 매우 심각했던 보안 문제 : 지금은 고쳐졌지만 악용되었을 경우 막대한 피해가 발생할 수 있었습니다. 간편하며, 보안성을 자랑했던 애플로써는 이미지에 타격이 클 겁니다. 다만 제보 후 빠른 대처는 칭찬받을 법도 합니다. 애플이 제공하는 '애플 ID로 로그인'은 무작위 ID를 제공하는 ..