정보보안 스터디 - 15주차 2일 - 각종 웹 공격 Snort 차단

☞ snort를 이용한 차단 및 알림 

 

local.rules 에서 룰을 설정합니다.

 

IPS는 차단 후 알림은 뜨지않기 때문에 테스트 환경으로는 IDS 기반으로 설정하겠습니다.

 

 

iframe injection 차단

 

 

OS command Injection 차단

; , &&, || 등의 기호들은 명령어를 실행시킬 수 있기 때문에 차단해줘야합니다.

또한 /etc/passwd 등의 파일을 불러올 수 있기 때문에 / 까지 차단해야하는데, 메세지로 해당 기호를 표시하기 위해서는 메타케릭터를 붙여줍니다.

\;, \&&, \||, \/ 이런식으로 붙여줍니다.

 

 

 

SQLi 차단

 

 

XSS 차단

 

 

path traversal 차단

 

 

url 인코딩에 대해서도 차단을 해줍니다.

또한 body 인코딩에 대해서도 차단합니다.

 

재시작 후 conf 에 대한 콘솔을 열어줍니다.

공격을 시도하고 매칭이 되는지 확인합니다.

 

참고로 로그기록 같은 경우는 snort디렉토리가 아닌 /var/log/apache2에 저장됩니다. 

 

url encoding

%2F : /

%3c : < 

%3e : >

%22 : "

%27 : '

 

 

☞ 컴퓨터의 이해

주기억장치  CPU가 처리하고 있는 내용을 저장합니다. ROM(read only memory)  전원꺼져도 소멸x, 비휘발성, 읽기만. 변화시키면 안되는 주요 데이터들 그에 반해 PROM, EEPROM은 데이터 삭제 후 다시쓰기가 가능. RAM(random access memory)  휘발성메모리, 읽기쓰기 가능, OS, 응용프로그램 불러와서 CPI가 작업할 수 있도록.

보조기억장치  HDD(hard disk driver)  물리적 디스크 회전시켜 저장. 충격약함, 소음 SSD(Solid State Driver)  크기 작, 속도 향상 = HDD 감소 반도체 기반 전기적으로 데이터 저장. > 속도 빠름, 소음x, 전력소모적음 광디스크 CD-R DVD-R 공백디스크 > 1회만 기록

 

 

 

프로그램 실행을 했을 때의 과정은 보조기억장치의 데이터를 주기억장치로 불러와 CPU가 처리하는 과정입니다.
보조 기억장치에 비해 주기억장치가 데이터 읽기가 더 빠릅니다.
서로의 속도를 완화시키기 위해 임시 메모리(cash 메모리) 를 사용합니다.