[window]Atlassian - Confluence 설치법 및 데이터베이스 연동
2021. 10. 4. 16:19
기술보안/기타
CVE PoC 테스트를 하기 위해 환경 구성을 할 일이 생겨 찾아보던 중 너무 시간도 오래 걸리고 자세히 안 나와 오래 걸려 확실히 설치법을 적어두고 공유하기 위해 작성하게 되었습니다~ 1. Confluence 설치 전 필요한 것들 1.1 - JAVA 1.2 - 사용할 DB (postgres, MySQL, Oracle 등) 2. Confluence 설치 설치법 바로 순서대로 진행해보겠습니다. 위의 주소 및 confluence 설치 버전 다운로드 검색 후 다운로드 가능합니다. 다운로드 시작 NEXT 진행 디폴트 설정으로 설치하기 위해 Express Install로 설치, 이전 사용해보았던 경우 Custom Install 통해 설치(자신이 경로를 설정할 수 있어 보인다) 저는 디폴트로 설정하였고 포트가 80..
[HTB-ACADEMY] 윈도우 기초 - 01
2021. 9. 12. 22:40
기술보안/기타
중요 내용 Windows 운영 체제 구조 Windows 파일 시스템 권한 관리 Windows 서비스 Windows의 프로세스 Windows 작업 관리자 운영 체제와 상호 작용 윈도우 보안 Microsoft 관리 콘솔 (MMC) Linux용 Windows 하위 시스템 (WSL) Windows 소개 Windows 및 Linux 운영 체제에 대한 철저한 이해는 다양한 평가 유형에서 유용함. 평가 중에 접하는 대부분의 시스템은 온프레미스나 클라우드로 두 가지 운영 체제를 기반으로 함. 이러한 운영체제를 공격하고 방어하는 방법과 추가 침투 테스트을 수행하기 위한 플랫폼으로 각 운영 체제를 사용하는 방법을 이해하는 것이 중요함. 온프레미스란? 기업의 서버를 클라우드 같은 원격 환경에서 운영하는 방식이 아닌, 자체적..
CSRF(Cross-site request forgery) 취약점
2021. 9. 5. 16:39
기술보안/Web
CSRF(Cross-site request forgery)란? 서버가 실제 서비스 페이지를 통한 정상요청인지 확인하지 않고 처리하는 경우 악의적인 스크립트를 이용하여 다른 사용자의 권한으로 게시판 자동 글쓰기, 자동 회원가입, 중요기능 실행 등의 공격을 할 수 있는 취약점 XSS와 CSRF의 차이점 XSS CSRF 공격대상 Client Server 목적 스크립트 실행이 목적 특정 행동을 유도 공격방법 인증된 세션 없이 공격 ex)악성코드 사이트로 리다이렉트, 인증(로그인)없이 피해를 입힐 수 있음 인증된 세션을 악용하여 공격 ex)반드시 인증된 사용자를 공격 CSRF 공격 과정 1.공격자가 게시글 또는 파일을 통해 공격 코드를 웹서버에 등록 2.사용자(희생자)가 게시글 또는 파일 열람을 통해 웹서버에 요..
취약한 HTTP 메소드 설정방법(feat. 서버별 설정방법)
2021. 8. 1. 17:23
기술보안/Web
OWASP(Open Web Application Security Project), 행정안전부, KISA에서 정의한 웹 취약점 점검 항목에 "취약한 메소드 설정"이라는 항목이 존재하고 실제로 취약점 진단 시 많이 나오는 부분 중 하나이므로 포스팅을 하게 되었다. Method는 일반적으로 많이 알고있는 GET, POST 외에 HEAD, PUT, DELETE, OPTIONS, TRACE 등으로 분류된다. 그 중 PUT, DELETE Method는 임의로 서버 내 파일의 생성 및 삭제가 가능하기 때문에 비인가 사용자에 의한 조작의 위험이 있고 TRACE Method 같은 경우는 클라이언트가 송신한 리퀘스트를 그대로 반환하게 되는데 이때 쿠키 및 세션값이 그대로 반환되게 되며 XST(Cross-Site Traci..