Daily Report

관리체계 인증기준 1번째 영역인 '1. 관리체계 수립 및 운영' 부터 살펴보자. 이번 영역에서는 총 16개의 세부 인증기준 중에서 '1.1. 관리체계 기반 마련' 분야에서 '1.1.2 최고책임자의 지정' 항목을 확인해보자. 이번 항목에서는 임원급의 자격요건을 충족한 정보보호 최고책임자 및 개인정보 보호책임자를 공식적으로 임명하고 있는지 확인하고 있다. 해당 '1.1.2 최고책임자의 지정'의 활동을 증빙하기 위한 증적자료 예시는 다음과 같다. 정보보호 최고책임자 및 개인정보 보호책임자 참고자료 그 외 증적 참고자료는 아래 페이지에서 다운받을 수 있다. https://dailylearn.tistory.com/131?category=1057354 [ISMS/ISMS-P] 1.1.1 경영진의 참여 관리체계 인증..

관리체계 인증기준 1번째 영역인 '1. 관리체계 수립 및 운영' 부터 살펴보자. 이번 영역에서는 총 16개의 세부 인증기준을 다루게 된다. 우리는 그 중에서 '1.1. 관리체계 기반 마련' 분야에서 '1.1.1 경영진의 참여' 항목을 확인해보자. 위와 같은 인증기준과 확인사항을 확인해보면 이번 항목에서는 경영진이 적극적으로 기업의 정보보호 및 개인정보보호 활동에 참여가 이루어지고 있는지 확인하고, 그에 맞는 절차가 수립 및 이행되고 있는지 확인하게 된다. 해당 '1.1.1 경영진의 참여'의 활동을 증빙하기 위한 증적자료 예시는 다음과 같다. 다음은 참고할 수 있는 증적자료 예시이다. 해당 자료들을 이용하여 인증심사 자료 준비에 도움이 됬으면 한다. 정보보호 및 개인정보보호 정책 및 지침 개인정보 내부관리..

정보보호 및 개인정보보호 관리체계 인증 소개 정보보호 및 개인정보보호 관리체계 인증기준은 크게 3개의 영역에서 총 102개의 인증기준으로 구성되어 있다. 관리체계 수립 및 운영(16개) 보호대책 요구사항(64개) 개인정보 처리 단계별 요구사항(22개) 정보보호 관리체계(ISMS) 인증을 받고자 하는 신청기관은 '1. 관리체계 수립 및 운영(16개)', '2. 보호대책 요구사항(64개)' 2개 영역에서 80개의 인증기준을 적용받게 되며 정보보호 및 관리체계(ISMS-P) 인증을 받고자 하는 신청기관은 '3. 개인정보 처리 단계별 요구사항(22개)'를 포함하여 102개의 인증기준을 적용받게 된다. 정보보호 및 개인정보보호 관리체계 인증기준 구성은 다음과 같다. 1. 관리체계 수립 및 운영 '관리체계 수립 및..

- DIMICTF란 DIMICTF(한국디지털미디어고등학교CTF)는 청소년 모의해킹대회로 불리며, 과학기술정보통신부와 한국정보기술연구원에서 후훤하고 한국디지털미디어고등학교에서 주최 및 주관하는 국내 해킹대회이다. 챌린지의 유형은 제퍼디(Jeopardy, 출제된 퀴즈를 풀이하는 방식)이며, 분야는 일반적으로 많이 다루어지는 리버싱, 포너블, 웹, 및 MISC(MISCellaneous, 기타)로 구성되어 있다. 문제는 총 20문제로 구성되어 있으며, 예선전에 출제된 문제이다.

※ SQL Injection 사용자가 입력한 값을 검증하지 않고 데이터베이스 쿼리 일부분으로 포함될 때 발생하는 취약점이다. 쿼리문을 참을 만드는 SQL Injection을 시도하면 데이터가 출력되게 된다. ※ Union SQL Injection 2개 이상의 쿼리를 요청하여 결과를 얻는 UNION 이라는 SQL 연산자를 이용한 SQL Injection 공격을 말하며 이 연산자를 이용하여 원래의 요청에 한 개의 추가 쿼리를 삽입하여 정보를 얻어낸다. 단, union를 사용할 때에는 컬럼의 갯수가 같아야 하고 데이터 형식도 같아야 한다. Union select을 이용하여 DB명과 버전 등을 알아낼 수 있다. 관련 시스템 변수 및 함수는 아래와 같다. database() : DB명을 알려주는 함수 user()..

※ iframe 인젝션 iframe은 HTML 문서 안에서 또 다른 HTML 문서를 보여주는 태그로 다른 프레임들과는 달리 어느 위치든 상관없이 사용 가능하다. 해당 문제에 들어가면 다음과 같은 화면이 나오게 되고, 해당 내용은 robots.txt의 내용이다. 소스에서 페이지의 소스코드를 확인해보면 iframe태그에 의해 출력되는 것을 확인했다. 이렇게 출력되는 것을 보며 여기에는 HTML Injection이 가능할 것으로 추측된다. " height="250" width="250"> 해당 공격문을 url뒤에 추가해서 request해보도록 하자. 공격이 성공적으로 수행되는 것을 볼 수 있다. 공격 후의 소스코드를 확인해보면 iframe태그가 추가되어 있는 것을 볼 수 있다. ※ OS Command 인젝션 ..

※ Blind XXE 어떤 경우에도 공격이 성공하더라도 결과가 보이지 않는 경우가 있다. 혹은 읽으려고 하는 자료에 XML 파서에서 오류를 일으키는 문자가 포함되어 있을 수 있다. 예시를 통해 알아보자. 여기서는 외부 DTD를 하나 참조하는데 이것은 공격자의 서버(WebWolf)에서 통제가 가능한 특징이 있다. 당신은 공격자로서, WebWolf 서버를 통제할 수 있다.(동일한 기능을 할 수 있다면 굳이 WebWolf가 아니여도 상관없다) 한 가지 예를 들면, 이 서버의 랜딩 페이지인 "http://192.168.219.100:9090/landing"에 연결을 시도하면 클라이언트의 흔적을 남길 수도 있다. 그럼 어떻게 이를 활용하여 XXE 공격을 할 수 있을지 고민해보자. "attack.dtd"라는 파일을..

※ Modern REST framework 최신의 REST 프레임워크를 사용하는 서버의 경우, 개발자가 생각하지 못한 형태의 데이터(요청 메시지)를 받아들이는 경우도 있다. 이에 따라 JSON 엔드포인트(서버에서 JSON 형식의 데이터를 받아 처리하는 부분)는 XXE 공격에 취약할 수 있다. 해당 문제에서는 이 프레임워크로 서버용 웹 어플리케이션을 개발하는 경우, 클라이언트와 JSON 객체의 형식으로 메시지를 주고 받을 수 있고, 개발 의도와 무관하게 클라이언트가 JSON 객체가 아닌 형태로 요청 메시지를 보내도 서버 측에서는 그것을 받아들일 수 있다는 정도로 생각하면 된다. 문제의 힌트를 열어보게 되면 content type를 살펴보라고 나와있다. Content-Type을 살펴보면 application..

문제를 보면 XXE Injection을 통해 Filesystem의 root directory를 리스팅하라고 한다. 태그를 이용해서 EXTERNAL ENTITY를 만들어 LFI(Local File Inclusion) Attack이 가능하다. 프록시를 이용해 Request를 조작하여 요청하면 root directory의 내용들이 출력되는 것을 확인할 수 있다.