8월 2017 ~ 정보보안(Information Security) 기록 저장소

2017. 8. 29.

[트러블슈팅] 버프스위트 HTTPS 에러

이슈 : 버프스위트로 프록시 점검 할때, HTTPS 페이지를 접속하게되면 에러가 에러창이 뜨고 제대로 프록시가 되지 않는다.

해결 : 아래 둘 중 한가지 항목을 실행하면 된다.
1) IE 에서 인증서 '신뢰할 수 있는 인증서 기관' 에 등록

http://darksoulstory.tistory.com/471

2) 크롬에서 인증서 '신뢰할 수 있는 인증서 기관' 에 등록

http://rootable.tistory.com/entry/Burp-Suite-HTTPS%EC%97%90%EC%84%9C%EB%8F%84-%EC%82%AC%EC%9A%A9%ED%95%98%EA%B8%B0
http://blog.do9.kr/entry/OS-X-Burp-Suite-%EC%9D%B8%EC%A6%9D%EC%84%9C-%EB%93%B1%EB%A1%9D%ED%95%98%EC%97%AC-%EC%82%AC%EC%9A%A9%ED%95%98%EA%B8%B0-Chrome

2017. 8. 25.

http://blog.do9.kr/entry/%EC%B9%A8%ED%88%AC%ED%85%8C%EC%8A%A4%ED%84%B0%EB%A5%BC-%EC%9C%84%ED%95%9C-%ED%8C%8C%EC%9D%B4%EC%8D%AC-%EC%98%A4%ED%94%88%EC%86%8C%EC%8A%A4-%EB%8F%84%EA%B5%AC-%EC%86%8C%EA%B0%9C

2017. 8. 24.

[스크랩] 파이썬 최고의 기본서 - A Byte of Python

오후 10:55 Programming , python , SCRAB , SOMETHING TO SAVE

파이썬 최고의 기본서라고 정평이 되어있는 책, 게다가 무료이다

# 파이썬을 처음 시작하는 개발자를 위한 링크 및 자료 공유

https://www.gitbook.com/book/swaroopch/byte-of-python/details

# 번역된 A Byte of Python

http://byteofpython-korean.sourceforge.net/byte_of_python.html

원서도 구글링하면 쉽게 찾을 수 있다. 원본하고 번역본을 번갈아보면 좋을듯하다.

[스크랩] Netsparker Web Application Scanner

오전 12:00 SCRAB , SOMETHING TO SAVE

보안담당자로 일하는 아는 형한테 추천받은 무료 웹 취약점 점검 스캐닝 툴이다.

무료임에도 상당히 좋은 성능을 자랑한다고 한다.

다운로드 : https://www.netsparker.com/getting-started/?ref=direct&key=0VWBYMZMPET65TF858HYYG19HD5SCAZG

시간이 날때 테스트 페이지 구축하고 스캐닝 테스트를 해봐야겠다.

2017. 8. 22.

[궁금한 것] X-XSS-Protection 1; mode=block

오후 9:38 궁금한 것

http 헤더에서 XSS 공격을 막기위해 보안헤더를 다음과 같이 설정 할 수 있다.

X-XSS-Protection 1; mode=block

이렇게 설정되어 있으면 정말 무슨수를 쓰더라도 XSS 공격이 안먹힐까?

그리고 XSS 공격 예방의 일환으로 <>와 같은 문자를 치환하면 XSS 공격을 할 수 없는건가.

[Javascript] location.href() / history.back()

오후 9:33 웹 소스 분석 , Javascript

location.href.indoxOf("?")

주소입력라인의 데이터 중에서 "?" 의 위치를 가져온다.
주로 if(location.href.indexOf("/testpage")>0) {..} 이와 같이 url 경로를 파악하고 함수를 실행하는 용도로 사용된다.

이는 다음과 같이 분리해서 사용할 수도 있다.
var locationHref=location.href; // 현재 브라우저 주소 입력라인의 값를 가져옴
var sectionGet=locationHref.indexOf("?") // 가져온 값에서의 "?" 의 위치를 반환한다.

location.href='/test/testlist.do';

/test/testlist.do 페이지로 이동하도록 한다.

history.back()

무조건 브라우저의 한 단계 전 페이지로 이동 // 동작상 history.go(-1) 에 해당한다.

history.go(-2)

바로 이전에 들렸던 페이지로 넘어가는 것

[스크랩] 관심있는 UDEMY 강좌 리스트

오후 7:36 SCRAB , SOMETHING TO SAVE

1. AWS Certified Solution Architect - Associate 2016
IT전문가 자격증 하나로 발돋움하고 있는 아마존 서비스 AWS(클라우드)의 자격증을 딸 수 있도록 돕는 초보자를 위한 클래스다. AWS어소시에이트 자격증 시험에 대비할 수 있다.

2. The Complete Android Developer Course - Build 14 Apps
안드로이드의 기본적인 개념을 이해할 수 있다. 클래스는 앱 개발과 자바프로그래밍을 가르치는 것이다. 따라하다 보면 앱을 14개나 완성할 수 있다.

3. Writing With Flair: How To Become An Exceptional Writer
영어로 글쓰기는 미국인들에게도 매우 중요한 기술이다. 블로거가 아니더라도 일상에서 이메일 하나 보내는 데도 필요하다. 클래스에서는 전문 작가들이 사용하는 여러가지 팁과 트릭을 공개한다.

4. JaveScript: Understanding the Weird Parts
단순한 스크립트 언어로 알고 있는 자바스크립트에 대한 지식을 크게 확충할 수 있는 클래스다.코딩에서 버그를 쉽게 찾을 수 있고 깊게 이해할 수 있게 된다. 특히 프레임워크인 J쿼리와 언더스코어에 대해서 심도있게 익히게 된다.

5. The Complete Java 8 Developer Course. Learn Step by Step
자바를 배우기 위한 클래스다. 자바는 최고의 프로그래밍 언어 중 하나다.

6. Ethical Hacking from Scratch to Advanced Technique
합법적이며 윤리적인 해킹을 배울 수 있는 이 클래스는 인터넷 시큐리티를 원하는 사람들에게 매우 좋다. 매달 강사인 모하메드 아테프는 네트워크 시큐리티와 악성 해커들을 막을 수 있는 방법을 알려주는 비디오를 공개하고 있다.

출처

http://www.koreadaily.com/news/read.asp?art_id=4819212

2017. 8. 10.

[웹 취약점] Blind SQL 인젝션 공격 사례

오전 12:59 웹 취약점 , WEB

이 요약은 사용할 수 없습니다. 이 글을 보려면 여기를 클릭하세요.

2017. 8. 8.

[웹의 이해] Form 태그, input 태그

오후 7:45 웹 소스 분석 , WEB

웹 소스 분석할때, 유념하며 봐야 할 코드 form, input 에 대해 정리하려고 한다.

<form action="http://test.test.org/check" method="get">
  <label for="url">url 주소 입력</label>
  <input id="uri" type="text" name="uri" />
  <input type="submit" value="전송" />
</form>

위의 코드에서는 form, label, input 태그 요소에 주목해야 한다.

1) form

action 속성은 이 폼을 전송할 url 을 의미한다.
method 속성은 폼에 전송할 방식을 지정하며, GET 방식과 POST 방식으로 나뉜다.

GET 방식 : method 속성 값이 get 인 환경에서, url 주소를 jhnoh.com 으로 입력한 경우에는, 아래와 같이 나타난다.

즉, 서버가 url=jhnoh.com 로 페이지를 요청받는 다는 것을 알 수 있다.

POST 방식 : 반면 POST 방식은 URL 에 값이 노출되어 서버에 전달되는것이 아닌, body 부분에 포함되어(일반 사용자에게는 안보임) 전달된다.

2) input

input 요소는 텍스트 입력 뿐 아니라, 전송 버튼, 라디오 버튼, 체크 박스 등 여러가지로 표한 될 수 있다.

input 요소는 주로 다음과 같이 사용된다.

<input type="text" name="url" />

input 요소는 위와 같이 스스로 닫는 태그이다.
type 속성을 통해서 인풋의 형태 타입을 결정 할 수 있다. 위 소스 예시는 텍스트 인풋을 나타내며, 이 외에 password, hidden, submit 등 다양한 속성 값이 있다.
name 은 데이터가 서버로 전송될 때 할당되는 변수의 이름이다. name 값이 abc 이고 해당 form 이 GET 방식으로 전송된다면, URL 주소에 'ABC=값' 이 붙어서 전송된다.

<input type="submit" value="전송" />

submit 타입의 요소를 클릭할 경우에는 해당 폼안에 있는 값들이 해당 서버로 전송된다.
value 값은 원래 요소의 기본 할당값이나, 버튼 형태에서는 해당 버튼에 표시되는 텍스트이다. 만약 value 속성 값이 없을 경우는, 해당 브라우저의 기본 텍스트로 보여진다. (예를 들어, 크롬이라면 '제출', 파이어 폭스라면, '질의 보내기', IE 라면 '쿼리 전송' 같은 식이다.
name 속성을 달아준다면, 해당 변수로 value 값이 전달된다. (name이 send 이고 value가 전송이라면 'send=전송'의 형태로 전달된다.

<label for="id">아이디 입력</label>
<input type="text" id="id" />

위의 속성과 같이 for 속성에 해당하는 폼 요소의 id 이름을 입력해서 연결한다.
솔직히 label 이 왜 필요한지는 아직 잘 모르겠지만, 웹 접근성 기준 상 폼 입력 요소가 있다면 이에 해당 하는 label 을 반드시 가지고 있어야 한다고 한다.

참고

http://webberstudy.com/html-css/html-3/form-1/

2017. 8. 3.

CISA CPE 교육 관련 내용 정리

오전 2:05 CISA

한때 정보보안 관련 감사에 관심이 있어서 CISA 자격을 취득하긴 하였는데, 매년 CPE 이라는 교육을 받고 돈을 내고 갱신해야 한다는게 정말 귀찮게 느껴진다. 더구나 가장 나를 힘들게 하는건 어떻게 CPE 교육을 갱신하고, 어떤 방법을 이용해야 하는지 이해하기가 어렵다는 것이다. 어차피 계속 갱신할 자격증이니, 계속 복잡해 하지 말고 속 시원하게 한번 내용을 정리하려고 다짐했다.

CISA 는 미국의 ISACA 가 시행하며, 정보기술 감사, 통제 등 보안감사자를 인증하는 자격증이다. CISA, CISSP 외산자격증은 시험비가 60만원대로 고가이고, 자격증을 유지하기 위해 3년간 보안관련 120 시간 교육(CPE)이수를 해야하고 100$를 지불해야 한다.

다시 정확히 설명하면, CISA는 매년 최소 20시간의 CPE를 등록해야 한다. 그때마다 관리비 85불을 내야한다. 3년이 사이클이며 120 시간 이상이 되어야 한다.

# CISA CPE 취득 경로

< 참고 - http://iprize.tistory.com/676 >

# CPE 시간 계산

# CISA 홈페이지에 게재되어 있는 CPE 정책 PDF 문서http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Documents/CISA-CPE_bro_Kor_0415.pdf

# (가끔씩 개최하는) ISACA 정기총회 참석
BUT, 이것은 CISA 자격 가지고 있는 인원이면 다 되는 것이 아니라, ISACA 한국협회 유로로 가입한 인원이어야 한다. ISACA 한국협회에 가입되었는지 아닌지 확인해야 겠다.

# PMP 자격증 취득을 위한 온라인/오프라인 수강
PMP 교육도 유효하다. 온라인 교육 수료 후 영문 수료증을 등록하면 된다.

# 사내 교육
정보시스템감사, 통제, 보안 및 IT거버넌스 관련 내용의 사내교육 역시 CPE 가 된다.

** 만약 수강을 했는데 영문수료증 못받았거나 영문수료증이 없을 경우, CPE 참가확인 신청서를 작성해야 한다.

http://www.isaca.org/Certification/Documents/Fillable-Verification-Attendance-Form_frm_1013.pdf

참고

정리가 잘 되어 있는 사이트 - http://ragona7772016.tistory.com/36
실례를 통한 CISA CPE 취득하기

피드 구독하기: 글 ( Atom )

정보보안(Information Security) 기록 저장소