주요정보통신기반시설 U-37(상) Apache httpd.conf <Directory> AllowOverride 설정 값 테스트

- 조만간 수정예정입니다. 전자금융기반시설 2020-1호 진단기준에 allowoverride none인 경우도 양호로 진단되므로, none인 경우 굳이 설정하실 필요 없으신 것으로 확인됩니다. 주요정보통신기반시설 U-37(상) 3. 서비스 관리 > 3.19 Apache 상위 디렉토리 접근 금지점검내용 : ".."와 같은 문자 사용 등으로 상위 경로로 이동이 가능한지 여부 점검환경 설정 - AWS Linux에 httpd를 설치하여 구동 - Server version : Apache/2.2.34 (Unix) - DocumentRoot "/var/www/html" - AccessFileName .htaccess - 테스트 경로 : "/var/www/html/test2/test3" - AllowOverride ..
[ IT ]/기반시설 취약점 진단 2020. 1. 9. 14:29

Postgresql 패스워드 정책 관련 설정

Postgresql 패스워드 정책 관련 설정은 postgresql.conf 파일 내 shared_preload libraries 설정 값으로 '$libdri/passwordcheck'를 지정하고, 서버를 재실행 하면 된다. - http://postgresql.kr/docs/current/passwordcheck.html F.23. passwordcheck passwordcheck 모듈은 CREATE ROLE 또는 ALTER ROLE 명령을 통해서 입력하는 사용자 비밀번호를 검사한다. 비밀번호가 너무 단순하면, 그 비밀번호로 변경 할 수 없게 한다. 이 모듈을 활성화 하려면 postgresql.conf 파일에서 shared_preload_libraries 설정 값으로 '$libdir/passwordchec..
[ IT ]/보안 2019. 12. 26. 14:33

Active X 레지스트리 정리(Win10)

해당 OS는 Windows 10이다. Count : 윗 사진의 '사용 횟수' Flags : 윗 사진의 '상태' 0x00 = "사용" 0x04 = "사용 안함" -> Flags의 경우 한번이라도 "사용 안함"으로 설정하면 "사용"으로 바꾸어도 0x04로 설정이 되어있다. -> 따라서, Flags 값으로 사용여부를 확인하기 힘들다. -> 해당 Active X를 "사용 안함"으로 설정하면 하위에 {해당 Clsid}값으로 키가 생기고, 하위에 Flags : 0x00000001, Version : "*" 값이 생성된다. 따라서 해당 경로에 값 생성여부로 확인 가능하다. - Keys added 'HKU\S-1-5-21-218772351-4216271880-3691829211-1001\Software\Microsof..
[ IT ]/보안 2019. 12. 23. 17:53

CentOS 7 로그인 실패 횟수 설정 (Pam_tally2)

pam_tally2의 설명은 각 cat /usr/share/doc/pam-x.x.x/txts/README.pam_tally2 에 들어있다. [test@localhost ~]$ cat /usr/share/doc/pam-1.1.8/txts/README.pam_tally2 pam_tally2 — The login counter (tallying) module ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ DESCRIPTION This module maintains a count of attempted accesses, can reset count on success, can deny access if too many attempts fail. ▶ 설명 이 모듈..
카테고리 없음 2019. 7. 28. 17:08

GNS3 - FireFox(Core Linux) 네트워크 기본 세팅

GNS3 장비중 웹 뷰어(Firefox_Corelinux) 장비 기본 네트워크 세팅 방법 코어 리눅스의 경우 모든 설정이 휘발성이라, 재시작시 날아간다고 한다.설정을 지속적으로 해주려면, 스크립트를 만들어서 부팅시 실행되도록 하는 방법밖에 없는듯 하다. 코어 리눅스에서 root 권한으로 명령어를 쓰려면 앞에 sudo를 붙여서 써주면 된다. 별도의 계정 스위칭은 안되는 듯 하다.sudo ifconfig eth0 '해당 IP' netmask '해당 netmask'sudo route add default gw '해당 게이트웨이 주소'
[ IT ] 2019. 2. 1. 14:20

tacacsGUI_Nexus(NX OS) 연동 user has failed authentication

tacacsGUI 서버와 Cisco Nexus 7200 연동 후, test 명령어를 통해 ID/Password 확인 할 때 올바른 계정/비밀번호를 넣어도User has failed authentication 오류가 계속 발생하였다. 사진 처럼 aaa authentication login ascii-authentication 설정을 해주면 인증이 잘 된다. Test는 성공하는데, 실제 exit로 나간 후 접속은 안 된다. 계속 확인 중
카테고리 없음 2019. 1. 21. 17:36

[5주차] DIVA 8~9번 문제 풀이

1. DIVA 8번 문제.Webview 취약점을 통해 다른 파일을 불러올 수 있는 지를 확인하는 문제다. file://하고 쳐봤는데 에러가 난다. 다시 제대로 file:/// 3줄로 하면 성공. 2. DIVA 9번 문제.9~11번 문제는 정식 루트를 거치지 않고 원하는 창을 띄울 수 있는 지 확인하는 문제 같다.일단 9번은 버튼을 누르지 않고, 해당 액티비티를 소환해 낼 수 있는 지를 묻는 문제. 이렇게 나와있고.adb를 통해 접속해봤다, adb shelladb shell am start 패키지명/액티비티정식 명령어는adb shell am start -n '패키지명/.액티비티명' -a 'Action 이름'(9번 문제의 경우 manifest,xml에 을 확인할 수 있는데,Action 이름에 jakhar.a..
[ IT ]/모바일 및 리버싱 스터디 2018. 8. 29. 21:27

[5주차] DIVA 5~7번 문제 풀이

1. DIVA 5번 문제.앞의 3,4번 문제와 마찬가지로 5,6번 문제는 데이터가 저장되는 곳을 확인하는 문제다.내용을 보면 createTempFile(), getApplicationInfo().dataDir을 검색해본 결과createTempFile()로 파일을 생성하는데 그 위치가 getApplicationInfo().dataDir임을 알 수 있다. /data/data/어플리케이션 디렉터리 밑에서 uinfo로 시작하는 tmp 파일을 확인할 수 있다.내용 확인 2. DIVA 6번 문제.6번 문제도 같은 형식으로 풀어본다.마찬가지로 코드를 보자.이번엔 Environment.getExternalStorageDirectory()를 찾아보면 될 것 같다.해당 경로는 기본값으로 /mnt/sdcard로 설정되어 있..
[ IT ]/모바일 및 리버싱 스터디 2018. 8. 26. 23:35

[4주차] DIVA 1~4번 문제 풀이

1. DIVA 1번 문제.DIVA 1번 문제는 Insecure Logging. 안전하지 않은 로깅 문제다.로그문제니까 로그에 해당 내용이 표시되겠지, JADX로 앱을 열어보았다.Log.e에 해당 번호가 남는 것을 확인.로그캣을 통해 해당 로그가 남는 것을 확인. Log.e이므로 level이 E인 것을 볼 수 있다. 2. DIVA 2번 문제.DIVA 2번 문제는 하드코딩 문제. vendor 키가 하드코딩 되어있겠지. 해당 문구와 맞으면 Access granted가 토스트 메시지로 출력되는 간단한 문제. 3. DIVA 3번 문제.DIVA 3번 문제는 Insecure Data Storage 1번 문제. 기기 어딘가에 정보가 저장되고, 해당 정보를 확인하는 문제다. Save 버튼을 누르면 어디엔가 저장되었다고 ..
[ IT ]/모바일 및 리버싱 스터디 2018. 8. 19. 20:47