기록★일지

서론SNI(Server Name Indication)는 SSL/TLS 프로토콜의 확장 기능으로, 가장 쉽게 이해하기 위해선 네트워크 통신할 때 암호화가 된다면 그 안에 데이터의 값이 무엇인지 알 수 없는데 SNI 필드를 확인하여 특정 사이트 및 트래픽 등을 확인할 수 있다. 쉽게 말하면 네이버에 네트워크 통신할 때 암호화가 되어 데이터 값을 볼 수 없지만 SNI 필드에는 네이버라는 것이 나와 있어 네이버의 트래픽인 것을 유추할수 있는 개념이다.  본론SNI (Server Name Indication)는 SSL/TLS 프로토콜의 확장 기능으로, 클라이언트가 서버에 접속할 때 어떤 호스트 이름에 접근하고자 하는지를 서버에 알리기 위해 사용, 하나의 IP 주소에서 여러 SSL/TLS 인증서를 사용할 수 있도록..

서론개발자가 아니더라도 IT관련 업계에서 일을 하면 SQL을 사용하게 된다.재직중인 기업마다 사용하는 SQL이 다르겠지만 대체로 다 비슷하고 SQL 관련 취약점은 DB가 공격당하기 때문에 매우매우 위험한 공격이다. Injection- 인터프리터로 전송되는 명령(command, query, format)의 의미를 변경/조작하는 방식으로 애플리케이션 데이터를 전달하는 공격- 인터프리터는 많은 접근으로 실행되는데, injection 공격이 성공할 경우 데이터 유출이나 애플리케이션 도는 서버의 제어권을 탈취할 수 있다. Injection 공격 유형- Error-Based SQL Injection은 SQL 쿼리가 실행될 때 오류가 발생하는 경우 DBMS의 에러메시지가 클라이언트측에 노출되는 경우 사용- SQL 쿼..

서론이전에 FAR(부재율)과 FRR(거부율)을 포스팅할 때 ROC곡선과 AUC를 올린다고 했었는데 이제서야 올린다.ROC곡선과 AUC는 이진 분류 문제에서 모델의 성능을 평가하기 위해 사용되는 주요 지표이다.  ROC와 AUC - ROC 곡선을 통해 모델이 어떻게 다양한 임계값에서 성능을 발휘하는 지 파악- AUC는 단일 숫자로 모델의 성능을 요약하므로 여러 모델 비교할 때 유용- ROC와 AUC는 클래스 불균형이 있는 데이터셋에서 유용한 평가 방법- 정확도(Accuracy)와 달리, ROC와 AUC는 클래스 불균형의 영향을 적게받음 이진 분류(Binary Classification)- 두 개의 클래스(예: 양성/음성, 참/거짓) 중 하나로 데이터를 분류하는 문제입니다.TP (True Positive)-..

생체 인식 시스템에서 보안과 사용자 편의성을 평가할 때 사용하는 두 가지 지표가 FAR(부재율)과 FRR(거부율) FAR(부재율, False Acceptance Rate)- 허용되지 않은 사용자가 잘못하여 허용되는 비율을 의미- 보안 측면에서 허용되지 않은 접근을 방지하는 것이 중요하기 때문에 FAR는 낮을수록 좋음- 회사의 지문 인식 출입 시스템에서 등록되지 않은 외부인의 지문이 허용되어 사무실에 출입하게 되는 상황- 쇼핑몰에서 얼굴 인식 결제 시스템이 유사한 얼굴을 가진 사람의 결제를 승인하여 잘못된 사람이 결제하는 상황 FRR(거부율, False Rejection Rate)- 허용된 사용자가 잘못하여 거부되는 비율을 의미- 사용자 편의성 측면에서 허용된 사용자의 접근을 원활하게 하는 것이 중요하기 ..

서론소프트웨어 개발 및 보안 분야에서 중요한 역할을 한다.프로그램의 소스 코드 없이도 동작 원리와 구조를 이해하고, 보안 취약점을 분석하며, 악성코드 식별 및 제거 기술이다. 1. 윈도우 실행 파일의 내부 구조와 동작 과정PE 파일의 생성 및 실행과정- 윈도우 실행 파일은 소스 코드 파일에서 시작하여 오브젝트 파일 최종적으로 실행 파일(PE)로 빌드됨- 컴파일러와 링커가 중요한 역할- 컴파일러는 소스코드를 아키텍처에 맞는 기계어코드로 변환- 링커는 오브젝트 파일들을 하나의 실행 파일로 결합 PE(Portable Executable) 파일 구조- 윈도우 운영 체제에서 사용되는 EXE, DLL, SYS 등의 파일 형식을 의미- DOS헤더, PE헤더, 섹션 테이블 등으로 구성, 각 섹션에는 콛 데이터, 리소스..

YARA- VirusTotal에서 제작한 도구, 악성코드의 패턴을 이용하여 악성 파일 분류- 간단한 규칙(Rule)을 작성하여 해당 규칙에 맞는 악성코드 탐지- 단순한 문자열이나 바이너리 값뿐만 아니라 반복 조건 지원 정규표현식(Regex)- 문자열의 일정한 규칙(패턴)을 표현하는 형식- 간단한 규칙을 작성하여 규칙에 맞는 문자열을 검색- 특정 문자열의 포함, 제외뿐만 아니라 반복 표현도 지원- 탐욕적 수량자(Greedy Quantifier)와 게으른 수량자(Lazy Quantifier)를 활용하여 탐지율 조절- https://regexr.com/ (정규표현식 연습 사이트) 탐욕적 수량자- 가능한 많은 부분과 일치하도록 시도- 패턴이 일치하는 가장 긴 문자열을 찾음- *: 0번 이상 일치 (예: a*는 ..

MITRE ATT&CK (Adversarial Tactics Techniques & Common Knowledge)- MITRE ATT&CK 프레임워크는 사이버 보안 분야에서 사용되는 쳬게적인 지식 기반- 공격자들의 전술(Tactics), 기술(Techniques), 절차(Precedures)를 체계적으로 정리하여 효과적으로 대응  IOC 기반 탐지- Snort와 같은 시그니처 기반 도구를 사용하여 악성 파일 해시, IP 주소, 도메인 이름 등을 탐지- 수집 및 자동화가 용이하지만, 새로운 IOC가 필요하고 단기적인 탐지 TTPs 기반 탐지- 공격자의 전술, 기술, 절차를 분석하여 행동 패턴을 탐지- Splunk와 같은 SIEM 도구를 사용하여 새로운 공격 기법에 대한 탐지가 가능하며 우회가 어렵지만, ..

OWASP (The Open Web Application Security Project)- 비영리 보안 프로젝트 재단을 통칭하는 약자로 애플리케이션에서 발생할 수 있는 취약점을 분석하고 연구- 2001년 12월 1일에 OWASP 재단으로 발족한 이후 2004년 4월21일에 비영리 단체로 등록- 주로 웹에 관한 정보노출, 악성파일, 보안 취약점 등을 연구하며 일정 주기로 10대 웹 애플리케이션 취약점을 발표 OWASP TOP 10 2021 - A-01:2021-Broken Access Control- A-02:2021-Cryptographic Failures- A-03:2021-Injection- A-04:2021-Insecure Design- A-05:2021-Security Misconfiguartio..

시스템 권한 탈취- 다른 사람의 통신망이나 컴퓨터 시스템에 정당한 접근 권한 없이 접근하거나 허용된 접근 권한의 범위를 초과하여 침입하는 행위- 권한 상승 역시 보안 경계를 침해하는 행위 중 하나로서 시스템 권한 탈취와 유사한 공격으로 관리자가 의도한 정도보다 더 많은 권한, 시스템이나 애플리케이션에 대한 더 높은 액세스 권한을 획득하는 행위 CVE-2021-3156 : Heap-Based Buffer Overflow in Sudo (Baron Samedit)- sudo에서 힙 오버플로우 취약점 발견, 권한이 없는 모든 사용자는 이 취약점을 악용하여 기본 sudo 구성 사용하여 호스으테 대한 루트 권한 탈취   레이스 컨디션- 두 개 이상의 프로세스가 공용 자원을 병행적으로 (concurrently)읽거..

악성코드 (Malicious Code 혹은 Malware)- 의도적으로 또는 비의도적으로 실행되면서 기밀성, 가용성, 무결성 등의 컴퓨터의 보안 속성을 침해할 목적으로 작성된 프로그램 악성코드 분류- 독립형, 기생형 기생형- 다른 응용프로그램이나 유틸리티 같은 호스트 프로그램을 필요로 함- 바이러스, 논리폭탄, 백도어 독립형- 자체적으로 구동될 수 있는 프로그램으로 스케줄되어 구동될 수 있음- 웜, 좀비 프로그램 바이러스성 악성코드- 자기 복제 가능- 웜, 바이러스 비-바이러스성 악성코드- 자기 복제 불가능- 트로이목마, 백도어 악성코드 종류바이러스- 다른 프로그램을 감염시킨느 프로그램 단편이며, 자기 복제 기능이 있음- 네트워크를 통해 전파되지 않음 바이러스 세대별 분류1세대 원시형 바이러스 (Prim..