[Node.JS] Web Shell 테스트
2021. 7. 31. 02:05
기술보안/Web
개요 이번 장에서는 Node.js 가 무엇인지 알아보고 Node.js를 기반으로하는 express 프레임워크로 웹을 설치해보고 일반적인 서버사이드스크립트 언어(JSP, ASP, PHP)가 아닌 js 파일을 이용해 웹에서 쉘을 실행시키는 방법에 대해서 알아보자. ※ 본 포스트는 개인적인 공부를 위한 목적으로 작성된 기술 문서입니다. 이 포스트에서 다루는 기술을 악용하거나 무단으로 사용하여 발생하는 모든 문제는 당사자에게 있으며, 경우에 따라 법적 처벌을 받을 수 있습니다. Node.js 란 무엇인가? Node.js는 서버사이드 자바스크립트 언어이며, 구글의 자바스크립트 엔진인 V8을 기반으로 구성된 일종의 소프트웨어 시스템이다. 이벤트 기반으로 개발이 가능하며 Non-Blocking I/P를 지원하기 때문..
CVE-2021-21389 POC Test
2021. 7. 29. 14:45
기술보안/CVE
CVE-2021-21389 취약점 POC에 대한 TEST를 진행해 보도록 하겠습니다. CVE-2021-21389 이란 : WordPress의 플러그인 인 BuddyPress에서 권한이 없는 일반 사용자가 Rest API End Point의 문제를 악용하여 관리자 권한을 얻을 수 있는 취약점입니다. WordPress : 커뮤니티 사이트를 구축하기 위한 오픈 소스 실습 진행 환경 구성 : Docker를 이용한 환경 구성, 취약한 BuddyPress 7.2.1 이하 버전(5.0.0 ~ 7.2.0) Docker 설치 후 Putty를 통해 Docker에 접속하여 줍니다. 도커 접속 후 ipconfig | grep inet 을 통해 Docker IP를 확인해 줍니다. 이후 Putty를 통해 원격 접속합니다. 접속하..
AWS 3-Tier Architecture 구성 ① Overview
2021. 7. 23. 13:49
기술보안/Cloud
AWS를 통한 웹 3-Tier Architecture를 구성하고 이에 따른 단계적 설정을 진행해보도록 하겠습니다. 최근엔 서버리스 Architecture를 구성해 서버나 트래픽을 분산처리 해주는 ELB 없이 많이 구축하는데 서버리스 Architecture는 이번 3-Tier 구성 완료 후에 다뤄볼까 합니다 :) 위의 그림은 기본적인 Web 3Tier Architecture 입니다. 데이터 흐름을 보자면, 외부에서 Client에 의해 Request가 들어오면 외부 ELB를 통해 웹서버로 로드밸런싱되고, 내부 ELB를 통해 WAS 서버를 거쳐 Database로 접근하는 흐름을 가집니다. 반대로 내부에 있는 서버가 외부와 통신할 경우 NAT Gateway를 통해 통신을 하게 됩니다. 해당 구조를 구성하기 위해..
정규표현식 정리
2021. 7. 13. 21:17
기술보안/기타
정규표현식 해당 글은 PHP 기준으로 정리한 글 입니다. 정규표현식이란? 특정한 규칙을 가진 문자열의 집합을 표현하는데 사용하는 형식 언어 정규표현식 함수 Function Description preg_match() 패턴이 문자열에서 발견되면 1을 반환, 그렇지 않으면 0을 반환 preg_match_all() 문자열에서 발견된 패턴의 개수를 반환 preg_replace() 패턴과 일치하는 문자열을 다른 문자열로 대체된 문자열을 반환 Modifiers Modifier Description i 대소문자 구분하지 않고 패턴 검사 수행 m 여러 줄 검색을 수행(문자열의 시작 또는 끝을 검색하는 패턴은 각 줄의 시작 또는 끝과 일치) u UTF-8 인코딩 i $result = preg_match("/t/", "t..
Config 서비스를 활용한 리소스 구성 평가
2021. 6. 29. 00:10
기술보안/Cloud
AWS Config는 AWS 리소스 구성을 측정, 감사 및 평가할 수 있는 서비스입니다. 리소스 구성을 지속적으로 모니터링하고 사전에 정의된 평가 팩을 기준으로 리소스를 평가할 수 있으며, 규정 준수 감사, 보안 분석, 변경 관리 및 운영 문제 해결 작업을 간소화할 수 있습니다. AWS 상의 보안 위협은 사용자로 인한 보안 사고가 대부분을 차지합니다. 대규모의 리소스를 관리할 경우 설정 및 구성상 오류가 있더라도 수개월이 지나 인지될 가능성도 있습니다. 이러한 문제점을 해결하기 위해 Config 서비스를 통해 리소스의 구성 변동 사항이나 위반 사항에 대해 인지할 수 있도록 구성할 수 있습니다. AWS Config 주요 기능 AWS 리소스의 구성 기록 AWS Config는 AWS 리소스의 변경 사항에 대한..