테크리빗

보안 장비나 웹 서버 로그를 분석하다 보면, User-Agent(UA) 필드에서 이상한 점을 발견하게 됩니다.왜 하나의 User-Agent에 Chorme이고, Mozilla이고, AppleWebKit이며, 심지어 Safari라고 적혀 있는 걸까?"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 결론부터 말하면, 현대 브라우저의 User-Agent는 '호환성'을 위해 서로의 이름을 빌려 쓰는 구조로 되어 있습니다. User-Agent의 역사이 복잡한 이름의 기원은 1990년대 '브라우저 전쟁' 시절로 거슬러 올라갑니다. Mozilla/5.0의 시작: 초창기..

Splunk SPL이란?Splunk SPL(Search Processing Language)은 Splunk에서 데이터를 검색, 분석 및 시각화하는 데 사용하는 강력한 쿼리 언어입니다.(DB의 SQL과 유사함)파이프라인(|)SPL은 파이프라인 개념을 사용하여 여러 명령어를 | (파이프) 문자로 연결하여 데이터를 단계별로 처리합니다. 마치 컨베이어 벨트 위에서 데이터가 각 공정을 거치며 가공되는 것과 같습니다. 기본 구조:검색 조건 | 명령어1 | 명령어2 | 명령어3 ...index 필드index는 Splunk에서 가장 기본적인 데이터 컨테이너입니다. 데이터를 수집할 때 물리적인 파일들로 저장하고 관리하는 공간(저장소)을 의미하죠. 데이터베이스의 '테이블'이나 '데이터베이스' 자체와 유사한 개념으로 생각할..

WordPress xmlrpc 취약점이란?XML-RPC는 XML(eXtensible Markup Language)을 사용하여 원격 프로시저 호출(RPC; Remote Procedure Call)을 수행하는 프로토콜해당 프로토콜을 사용하여, 원격으로 모바일 앱에서 포스팅을 하거나 다른 블로그와 콘텐츠를 연결하는 등의 작업이 가능합니다.현재는 더 발전된 REST API로 대체되어 사용이 권장되지 않으며, 오히려 심각한 보안 위협의 경로로 악용되고 있습니다.주요 공격 유형XML-RPC 취약점은 주로 두 가지 형태의 사이버 공격에 악용됩니다.1. 무차별 대입 공격 (Brute-Force Attacks)공격자는 xmlrpc.php 파일의 system.multicall 기능을 이용해 단 한 번의 HTTP 요청으로 ..

X-Requested-With 헤더란X-Requested-With 헤더는 주로 웹 애플리케이션에서 AJAX (Asynchronous JavaScript and XML) 요청임을 서버에 알리기 위해 사용즉, 이 헤더가 포함된 요청은 일반적인 웹페이지 전체를 불러오는 것이 아니라, 페이지의 특정 부분만 동적으로 업데이트하기 위해 전송되었음을 의미활용예시: 사용자가 웹사이트의 '더 보기' 버튼을 클릭하거나, 스크롤을 내려 새로운 콘텐츠(예: 뉴스 기사, 상품 목록)를 로드 AJAX 정상적인 통신 흐름 예시아래는 X-Requested-With: XMLHttpRequest 헤더가 정상적으로 사용되는 대표적인 시나리오입니다. 1. 사용자 행동: 사용자가 웹사이트의 '더보기' 버튼을 클릭하거나, 스크롤을 내려 새로운..

오늘날 사이버 공격은 점점 더 지능적이고 지속적으로 변화하고 있습니다. 이러한 위협에 효과적으로 대응하기 위해, 전 세계 보안 전문가들은 MITRE가 개발한 사이버 보안 프레임워크를 표준처럼 활용하고 있습니다. MITRE의 프레임워크는 실제 공격 사례를 기반으로 공격자의 행동을 분석하고, 이를 방어 전략과 연결하여 조직의 보안 수준을 한 단계 끌어올리는 강력한 도구입니다. 이 글에서는 MITRE의 ATT&CK®, Engage, D3FEND 프레임워크에 대해 자세히 알아보겠습니다. 용어정리우선 MITRE 프레임워크를 이해하기 위해서 APT, TTPs라는 용어에 대해서 정리해보겠습니다. APT (Advanced Persistent Threat)APT는 '지능형 지속 위협(Advanced Persistent ..

다이아몬드 모델이란?다이아몬드 모델(Diamond Model of Intrusion Analysis)은 사이버 공격을 체계적으로 분석하고 이해하기 위한 사이버 보안 프레임워크입니다. 이 모델은 공격을 구성하는 네 가지 핵심 요소, 즉 공격자(Adversary), 도구/방법(Capability), 기반 시설(Infrastructure), 그리고 피해자(Victim)로 분류하여 해킹이 어떻게 발생했는지에 대한 전체적인 그림을 제공합니다. (참고) 미국 정부 정보 기관에서 개발된 만큼 높은 공신력을 가지고 있으며, 사이버 위협을 효과적으로 식별하고 대응하는 데 유용한 분석 도구로 활용됩니다. 다이아몬드 모델을 사용해야 하는 이유 3가지다이아몬드 모델은 사이버 공격의 복잡성을 이해하고 효과적으로 대응하기 ..

모의해킹이란모의해킹(Penetration Testing)이란, 사전에 정의된 범위와 조건 하에 시스템, 네트워크, 애플리케이션 등의 보안 취약점을 식별하고, 이를 기반으로 적절한 대응방안을 수립하는 보안 활동입니다. 해외에서는 '침투 테스트'를 의미하는 Pentest라는 용어가 일반적으로 사용됩니다. 모의해킹 대상국내에서는 주로 웹 애플리케이션과 모바일 애플리케이션을 대상으로 한 모의해킹이 일반적입니다. 하지만 그 외에도 다양한 IT 자산이 모의해킹 대상이 될 수 있습니다 네트워크 장비: VPN, IDS/IPS, Firewall, WAF, Router, Switch 등시스템: Windows, Linux, IoT 기기, 데이터베이스(DBMS) 등클라우드 인프라: AWS, Azure, GCP 등에서 I..

이전 게시글에서는 AWS WAF의 개념과 AWS에서 제공하는 관리형 룰(Managed Rule)을 활용하여 SQL Injection과 XSS 공격을 차단하는 실습을 진행했습니다. [프로젝트] AWS WAF를 통한 웹 공격 방어(1)AWS WAF란 Amazon CloudFront 배포, Amazon API Gateway API, Application Load Balancer(ALB)에 전달되는 HTTP(S) 요청을 모니터링하고 필터링할 수 있게 해주는 웹 방화벽입니다. 예를 들어 특정 문자열이나 IP주소를 차rybbit-life-debugging.tistory.com 이번 포스팅에서는 한 단계 더 나아가, 아래와 같은 실습을 진행해보려 합니다. 1. custom rule을 작성해, 국가별 또는 User-..

AWS WAF란 Amazon CloudFront 배포, Amazon API Gateway API, Application Load Balancer(ALB)에 전달되는 HTTP(S) 요청을 모니터링하고 필터링할 수 있게 해주는 웹 방화벽입니다. 예를 들어 특정 문자열이나 IP주소를 차단하는 정책을 설정해 두면, 기본적으로 HTTP 403 상태 코드(금지됨)로 응답하게 됩니다. 추가적으로 요청이 차단될 때 사용자 지정 오류 페이지를 반환하도록 CloudFront를 구성할 수 있습니다. WAF 실습본 실습에서는 CloudFormation을 통해 웹 공격에 취약하도록 의도된 web application(DVWA)와 인프라 환경을 구성하고, 웹 공격 시 AWS WAF를 통해 공격에 방어하는 체계를 구성할 예정입..

클라우드 보안에서 중요한 핵심은 클라우드와 레거시 보안 모델의 차이를 정확하게 이해하는 것이라고 생각합니다. 레거시 환경에 익숙한 사람들은 흔히 클라우드를 단순히 인프라만 가상화된 환경으로 보고, 기존과 동일한 보안 방식을 그대로 적용해도 문제없다고 생각합니다. 이러한 접근은 절반만 맞고 절반은 틀렸다고 할 수 있습니다. 온프레미스 보안모델온프레미스 보안 모델은 주로 경계 중심의 보안 접근 방식을 취합니다.  내부와 외부가 명확히 구분되며, DMZ를 기준으로 내부는 신뢰 가능한 영역으로 간주하여 비교적 자유로운 통신을 허용하는 것이 대표적인 특징입니다. 클라우드 보안 모델하지만 클라우드 보안모델은 어떨까요?클라우드 보안 모델은 온프레미스와 근본적으로 다릅니다.  클라우드는 인터넷을 통해 자원을 접근하고 ..