반응형 [보안 Archive] ~201716 Alexa forensics 논문 정리 Digital forensic approaches for Amazon Alexa ecosystem 논문 정리 내용. [논문] https://www.sciencedirect.com/science/article/pii/S1742287617301974 • [Introduction] 알렉사에서 Cloud-native artifact를 수집할때 겪는 어려움: 1. 클라우드에 접근하기 위해서 user account가 필요함 2. 클라우드에서 삭제된 정보는 복구하기가 어려움 그래서 client-side 포렌식도 해야함 CIFT는 unofficial API들을 사용해서 알렉사에서 cloud native 아티펙트를 수집하고, 웹앱을 사용할때 생성되는 client side 아티펙트를 분석할 수 있음. • [Alexa ec.. 2020. 3. 28. 소스코드 취약점 분석, 소스코드 취약점 유형 01 소스코드 취약점 분석 보안 취약점을 찾는 2가지 방법; Black Box Testing 웹 어플리케이션의 소스코드를 보지 않고, 어플리케이션의 외부 인터페이스 구조를 분석하여 취약점을 발견하는 방식 장점 : White box testing 보다 취약점을 찾는 속도가 빠르고 다양한 취약점 공격을 시도할 수 있다. 또한 인터페이스 간의 상관관계 분석을 통해 취약점이 발생 할 수 있는 부분을 식별할 수 있다. White Box Testing 개발된 소스코드를 살펴봄으로 코드 상의 취약점을 찾는 방식 장점 : 소스코드를 볼 수 있기 때문에 보안 취약점의 존재 유무를 더 확실히 알 수 있다. 하지만 소스코드를 일일이 검토하면 시간이 많이 소요된다. Gray Box Testing - Black Box Test.. 2020. 3. 28. 웹 보안의 기본 요소 - 인증, 접근 통제, 입력값 검증 01 사용자 인증 패스워드 공인인증서 공인인증서는 전자 서명의 검증에 필요한 공개키에 소유자 정보를 추가하여 만든 일종의 전자 신분증이다. 비밀번호처럼 단순한 한개의 정보가 아닌 공개키와 비밀키의 쌍을 이용하여 사용자를 인증하는 공개키 기반 구조(PKI : Public Key Infrastructure) 매커니즘을 사용한다. 공개키 기반 구조는 공개키와 비밀키 쌍을 생성하여 공개키는 와부에 공개하고 비밀키는 소유자 자신만 가지고 있으면서 다른 사람이 공개키로 암호화한 내용을 자신의 비밀키로 복호화하는 방식이기 때문에 사용자의 신원 인증을 강화할 수 있다. 생체인증 (Biometric authentiication) 사용자 인증을 위한 가장 강력한 방안이다. 사람 그 자체를 인증수단으로 사용한다. 생체인증 .. 2020. 3. 28. 웹 해커의 도구들 - 브라우저, Burp Suite, 취약점 스캐너 01 웹 브라우저 인터넷 익스플로러, 크롬, 파이어폭스 등의 브라우저들이 개발자 도구를 제공한다. 개발자 도구는 웹 사이트의 페이지 레이아웃, HTML, CSS 코드를 브라우저에서 간편하게 열어 검토할 수 있게 해준다. 개발자 도구를 통해 웹 어플리케이션의 구조를 쉽게 파악할 수 있으며, 쿠키값을 보거나 데이터를 변조하는 공격을 할 때 유용하게 쓰인다. 02 Burp Suite Burp Suite는 기본적은 기능인 웹 프록시 외에도 다른 기능들을 제공한다. 1. Target 기능 탐색한 사이트에 대한 정보를 확인할 수 있다. 웹 사이트의 구조를 분석할때 유용하게 쓰인다. 사이트를 탐색하다 보면 target 메뉴에 사이트의 구조가 나타난다. (Burp Suite는 구조를 분석할때 해당 페이지에 포함된 링크.. 2020. 3. 28. 이전 1 2 3 4 다음 반응형
