본 글은 O`REILLY의 'Zero Trust Architecutre in Kubernetes' 도서를 기반으로 정리한 내용입니다.https://learning.oreilly.com/library/view/zero-trust-architecture/9781098138646/Chapter 1. Authentication and Authorization📌 제로 트러스트(Zero Trust)란?네트워크 내의 가능한 모든 벡터에서 데이터 전송 및 상호작용이 인증되도록 보장하는 개념즉, 어떠한 장치, 사용자 또는 네트워크 세그먼트도 신뢰하지 않고 잠재적 위협 요소로 처리하는 보안 모델로 네트워크 리소스에 엑세스하는 모든 장치와 사람은 인증 및 승인을 받아야 함.→ 쿠버네티스에 ZTA(제로 트러스트 아키텍처) ..
전체 글
Major. Information Security보호되어 있는 글입니다.
본 글은 '그림과 실습으로 배우는 도커 & 쿠버네티스' 도서를 기반으로 작성되었습니다. 도커란 무엇인가?🌟 도커는 데이터 또는 프로그램을 격리시키는 기능을 제공하는 소프트웨어이다. 이러한 도커의 기능은 주로 서버에서 사용된다. 일반적으로 컴퓨터를 사용할 때 여러 프로그램을 동시에 사용할 수 있는 것처럼 서버에서도 아파치, MySQL 등 여러 프로그램이 함께 동작한다. 이때, 도커는 다양한 프로그램과 데이터를 각각 독립된 환경에 격리하는 기능을 제공한다. → 도커는 운영체제가 비슷한 것끼리 통째로 격리된다 📂 관련 용어 정리 참고 자료: https://inside.nhn.com/tech/205▶ 컨테이너특정 애플리케이션을 실행하기 위해 필요한 라이브러리와 실행환경을 이미지로 패키징하고, 가상화 기술을 ..
먼저 문제 설명을 통해 본 문제는 데이터베이스에 저장된 admin 계정의 비밀번호에서 플래그를 획득할 수 있는 문제이다. 문제 사이트에 접속하면 위와 같은 화면을 볼 수 있다. 문제 접속하자마자 보이는 login 요청 파라미터를 URL 뒤에 붙여서 접속해보았다.접속하니 guest라는 문구가 출력되면서 guest로 로그인 됨을 알 수 있다. 혹시나 admin으로도 로그인이 가능한지 테스트해보기 위해 uid와 pw를 모두 admin으로 변경해보았더니 filter라는 문구가 나온다. 이를 통해 admin 계정은 필터링이 걸려있음을 알 수 있다. const express = require('express');const app = express();const mongoose = require('mongoose')..
📌 CSS Injection공격자가 삽입한 값을 통해서 웹 페이지 내 로드된 CSS(스타일시트) 또는 Style 태그와 속성 등 페이지의 CSS를 통제하는 취약점이다. 대표적으로 피싱에 활용될 수 있으며 다른 XSS나 CSRF 취약점이 쉽게 트리거될 수 있도록 사용자를 속이는데 사용된다.| 참고자료 https://www.hahwul.com/cullinan/css-injection/ 먼저 문제 페이지를 접속하면 위와 같은 메인 화면을 볼 수 있다. 메인 페이지에서 언급되어 있는 것처럼 해당 페이지는 'Private Memo Service'라 그런지 Memo 카테고리를 눌렀을 때 로그인을 진행해야 함을 확인할 수 있다. 계정이 따로 없으니 등록을 먼저 해보자.우선 임의로 username과 password..
먼저 문제설명에 위와 같이 되어있는 것을 볼 수 있다.문제 설명에서도 볼 수 있듯이 '쿠폰을 검사하는 로직이 취약' 하다는 부분을 통해 쿠폰 검사 로직이 취약하니 그 부분을 공략하여 문제를 풀어볼 수 있을 것 같다 우선 문제 페이지에 접속하면 위와 같은 화면을 볼 수 있다. Acquire Session 버튼을 누르니 위 페이지로 전환이 되었고 해당 페이지에서 shop과 마이페이지를 볼 수 있었다먼저 Shop 버튼을 클릭하여 확인해보니 빼빼로와 플래그를 구매할 수 있는 화면이 나왔고 각각의 가격 또한 표시되어 있었다우선 어떻게 구매가 이루어지는지 확인해보기 위해 플래그 구매 버튼을 눌렀는데 위 창과 같이 돈이 없어 구매가 안되는 것을 확인할 수 있다. 다음으로 마이페이지로 돌아가니 쿠폰을 발급받고 발급받은..