Security16 [클라우드 기반 시스템 운영 & 구축 실무] Terraform 1. Terraform이란?1.1. IaC (Infrastructure as Code)수작업으로 수행하던 인프라 구축을 코드(정의 파일, 명령어 등)를 사용하여 수행하는 방법IaC를 이용하면 작업 공수의 절감, 작업 품질의 향상 효과를 가져올 수 있다. 1.2. TerraformIaC 도구의 한 종류로, 아래의 구조로 동작한다. 2. Terraform 실습2.1. Terraform 설치 (Windows 기준)Install | Terraform | HashiCorp Developer Install | Terraform | HashiCorp DeveloperExplore Terraform product documentation, tutorials, and examples.developer.hashicorp.. 2025. 4. 11. [클라우드 기반 시스템 운영 & 구축 실무] 로그 수집 및 분석 1. CloudWatchEC2와 같은 리소스로부터 생성된 로그를 Watch로 수집리소스(CPU, Memory, HDD 등)의 사용량 정보를 수집 1.1. CloudTrail vs. CloudWatch사용자 행위 정보 로그 (로그인, 로그아웃, 정책생성 등) : CloudTrail시스템 행위 정보 로그 (EC2, RDS 등) : CloudWatch 1.2. CloudWatch 실습(1) IAM > Role > Create Role EC2CloudWatchAgentServerPolicy (2) IAM > User > Security Credential > Access Key 생성 (3) EC2 환경 설정 3-1) EC2 생성3-2) IAM Role 연결 3-3) 다운로드 yum install httpd -.. 2025. 4. 11. [어플리케이션 보안] SQL Injection과 SQLMAP 1. SQL InjectionSQL 주석을 통해 쿼리를 우회하는 방식을 사용 1.1. 주석 유형MySQL : #Oracle, MS-SQL, SQLITE3 : -- 1.2. 취약점 점검간편하게 SQL Injection 적용 가능 여부를 확인하려면 ' 하나를 찍어보면 된다.ex) password에 ' 넣어보기 1.2.1. Login Form 이용(1) 일반 쿼리문select id, pw from user where id = 'admin' and pw = 'password'; (2) 공격문- 'or 1=1# 또는 'or 1=1-- 을 사용함- pw 부분은 주석 처리가 되어버림 where id = ' 'or1=1# ' and pw = 'password'; 1.2.2. 게시판 검색 이용(1) 일반 쿼리문se.. 2025. 4. 11. [인프라 활용을 위한 파이썬] 함수 1. 개요1.1. 프로그램 작성 유형절차적 프로그래밍고전적, C언어 스타일흐름 제어를 잘 사용하여 구성직관적코드가 복잡유지 보수 어려움함수 지향적 프로그래밍절차적 프로그래밍의 문제점을 대부분 해결복잡한/반복되는 단위는 함수 단위로 묶어서 간단하게 구성간결한 코드재활용성이 높아짐유지보수가 향상됨ex) WEB객체 지향적 프로그래밍ex) GUI트렌드 | 절차적 → 함수 지향적 → 객체 지향적 → 함수 지향적 1.2. 기본적 본질함수의 워크 플로우데이터 입력 → 입력한 데이터를 처리 → 처리된 결과 출력함수의 내부에서 처리기존 개념프로그래머가 요구 사항에 맞춰서 로직, 알고리즘을 동원하여 특정 목적을 달성하는 행위사람이 직접 구현# 더하기 함수 - 입력 : 1, 3 - 처리 : 1 + 3 AI, 머신러닝에서의 .. 2025. 1. 9. [Dreamhack Lv.1] XSS-1 https://dreamhack.io/wargame/challenges/28 xss-1여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. 플래그 형식은 DH{...} 입니다. 문제 수정 내역dreamhack.io 문제 설명여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.플래그 형식은 DH{...} 입니다. 문제 풀이 vuln, memo, notice flag, flag 페이지로 구성되어 있다. 1. vuln pageparam으로 넘긴 명령어가 그대로 실행됨을 확인할 수 있다.@.. 2024. 12. 20. [Dreamhack Lv.1] csrf-2 https://dreamhack.io/wargame/challenges/269 csrf-2여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. CSRF 취약점을 이용해 플래그를 획득하세요. 문제 수정 내역 2023.07.18 css, html 제공 및 read_url() 코드 일부가 변경되었습니다. Referendreamhack.io 문제 설명여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.CSRF 취약점을 이용해 플래그를 획득하세요. 문제 풀이vuln, flag, login 페이지로 구성되어 있다. 들어가자마자 로그인하라는 문구가 눈에 띈다. 1. vuln page'script' 문자열이 취약성을 갖고 있으므로 '*'로 자동 치환되는 것을 확인할 수 있다.script 말고 .. 2024. 12. 20. [Dreamhack Lv.1] csrf-1 https://dreamhack.io/wargame/challenges/26 csrf-1여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. CSRF 취약점을 이용해 플래그를 획득하세요. 문제 수정 내역 2023.07.18 css, html 제공 및 read_url() 코드 일부가 변경되었습니다. Referendreamhack.io 문제 설명여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.CSRF 취약점을 이용해 플래그를 획득하세요. 문제 풀이vuln, memo, notice flag, flag 페이지로 구성되어 있다. 1. vuln page'script' 문자열이 취약성을 갖고 있으므로 '*'로 자동 치환되는 것을 확인할 수 있다.script 말고 다른 방법을 이용해야 한다.. 2024. 12. 20. [Dreamhack Lv.1] simple_sqli https://dreamhack.io/wargame/challenges/24 simple_sqli로그인 서비스입니다. SQL INJECTION 취약점을 통해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. Reference Server-side Basicdreamhack.io 문제 설명로그인 서비스입니다.SQL INJECTION 취약점을 통해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. 문제 풀이기본적인 SQL Injection 문제이다.어드민 계정으로 로그인을 우회하는 것이 첫 단계이다.@app.route('/login', methods=['GET', 'POST'])def login(): if request.method == 'GET': .. 2024. 12. 20. [취약점 진단 실무] 보안 가이드 업데이트 실습 타겟 설정 가이드 2024 클라우드 보안 가이드 (SK 쉴더스) 항목 1.5 Key Pair 접근 관리 1.5 Key Pair 접근 관리 분류 계정 관리 중요도 상항목명 Key Pair 접근 관리 항목 설명 EC2는 키(Key)를 이용한 암호화 기법을 제공합니다. 해당 기법은 퍼블릭/프라이빗 키를 통해 각각 데이터의 암호화 및 해독을 하는 방식으로 여기에 사용되는 키를 ‘Key Pair’ 라고 하며, 해당 암호화 기법을 사용할 시 EC2의 보안성을 향상시킬 수 있으므로 EC2 인스턴스 생성 시 Key Pair 등록을 권장합니다.또한, Amazon EC2에 사용되는 키는 ‘2048비트 SSH-2 RSA 키’이며, Key Pair는 리전당 최대 5천 개까지 보유할 수 있습니다. 설정 방법.. 2024. 12. 18. 이전 1 2 다음