CloudGoat 구축하기목차CloudGoat란?TerraForm 구축CloudGoat 설치AWS 프로파일 세팅완료 테스팅CloudGoat란?- CloudGoat는 클라우드 기반에 취약한 취약점이 있는 클라우드 환경입니다.이와 비슷한 것은 WebGoat와 같이 웹취약점 훈련환경이 있습니다.TerraForm 구축- 먼저 TerraForm이란 테라폼은 아마존 웹 서비스, 구글 클라우드 플랫폼 및 마이크로소프트 애저를 비롯한 다양한 클라우드와 가상화 플랫폼 전반에 걸쳐 코드 형태로 인프라를 정의하고, 실행하고, 관리하는 가장 효과적인 데브옵스 도구입니다. kali 환경에서 구축하기 위해서 terraform을 먼저 구축하였습니다.sudo apt-get update && sudo apt-get install -y..

개요소프트웨어 개발의 효율성과 보안성을 극대화하기 위해 등장한 CI/CD 파이프라인과 DevSecOps의 개념에 대해 알아보고 현업에서 많이 사용되는 소스코드 레포지토리, 빌드 시스템, 자동화 테스트, 보안 분석 도구, 배포 시스템, 모니터링 및 로깅 시스템을 자동화 파이프라인으로 구성하고 보안을 어떻게 접근하고 관리해야할지 알아보자. CI/CD 파이프라인이란?CI/CD는 소프트웨어 개발 및 배포 프로세스를 자동화하고 효율성을 극대화하기 위한 방법론이다. CI는 Continuous Integration(지속적 통합)을, CD는 Continuous Delivery(지속적 전달)와 Continuous Deployment(지속적 배포)를 의미한다. CI/CD 파이프라인은 아래 그림과 같이 개발자들이 소스 코드..

CVE-2022-22965목차PoC 환경구축Spring4Shell취약점이란exploit 코드PoC 환경구축깃허브에서 가져온 PoC 파일을 가져와서 docker를 구축합니다. 그 후에, 잘 실행이 되는지 확인하여 링크에 들어갑니다.   https://github.com/sunnyvale-it/CVE-2022-22965-PoC GitHub - sunnyvale-it/CVE-2022-22965-PoC: CVE-2022-22965 (Spring4Shell) Proof of ConceptCVE-2022-22965 (Spring4Shell) Proof of Concept. Contribute to sunnyvale-it/CVE-2022-22965-PoC development by creating an account..

보호되어 있는 글입니다.

메모리 덤프를 통해 민감 정보 확인하기! - 메모리에 존재하는 중요한 데이터를 덤프하여 확인- 애플리케이션은 필요하지 않더라도 중요한 정보를 애플리케이션 메모리에 저장: 개발자가 중요한 정보를 포함할 수 있는 속성 도는 인스턴스 변수를 사용 후 제거하지 않아 발생 설치필요!https://github.com/rootbsd/fridump3 GitHub - rootbsd/fridump3: A universal memory dumper using Frida for Python 3A universal memory dumper using Frida for Python 3 - rootbsd/fridump3github.com         해당 파일이 설치된 경로 저장 후  frida를 통해 설치한 fridump3.p..

안녕하세요.이번에는 네트워크 계층의 보안에 대해 다뤄보겠습니다. - 네트워크를 통해 데이터를 전송할 때 세가지 방법과 ATS 설정 확인- HTTP, HPPTS, SSl/Cert PINNIG, ATS  1. SEND OVER HTTP  먼저 해당 HTTP 패킷 확인을 위해 BURP SUITE 를 이용해 전송되는 패킷을 확인해 보겠습니다.BURP 설치방법은 따로 작성하지 않겠습니다.BURP 설치 후 설정 방법 부터 설명 드리겠습니다. BURP 실행 후 Proxy settings 옵션에 들어가 줍니다.  이후 ADD 버튼을 통해 포트 설정 및 어떤 패킷을 받을지 설정해 줄 예정입니다.  이후 아래와 같이 포트 번호를 임의로 설정해 줍니다.(이미 실행되 있는 포트의 경우 겹칠 수 있으니 되도록 겹치지 않는 포트..