본문 바로가기

+ Application33

[Tomcat] 톰켓 SSL 인증서 설정하기 웹 서비스를 구성할 때 Tomcat(톰켓)을 사용하는 경우 Apache(아파치)와 함께 구성하여 서비스를 사용하는 게 일반적이다. 그래서 HTTPS와 같이 SSL 인증서 설정들도 대부분 Apache에서 설정하여 사용하고, 인증서를 구매하여 관련 정보를 받는 경우에도 Apache / Nginx와 같은 부분에 대해서만 설정 및 적용할 수 있도록 전달받는다. 그러나 Tomcat(톰켓)을 이용해 웹 서비스를 바로 사용하는 경우가 간간히 있다. 이때도 HTTPS를 사용하는 경우 SSL 인증서 설정을 하게 되는데 이때 Apache / Nginx에서 사용하기 위해 받은 인증서를 바로 사용할 수가 없다. 그럼 Tomcat에서는 어떻게 적용하는지 한번 알아보도록 하자. 1. Apache or Nginx 어떤 인증서를 사.. 2021. 9. 18.

[Burp Suite] 버프 스위트 임베디드(내장) 브라우저 사용하기(Using Embedded Browser) Burp Suite(버프 스위트)라는 Proxy Tool(프록시 툴)을 사용하여 취약성 점검 등을 서비스 트래픽 분석에 사용한다. 이때 분석을 위해서 브라우저에 Proxy를 Burp Suite로 연결하여 점검, 분석 등을 사용하는 게 일반적이다. 그러나 얼마 전 Burp Suite 개발사인 PortSwigger 사이트에서 글 하나를 읽었는데 이제 Burp Sutie 내에 준비된 임베디드 크로미엄 브라우저(Embedded Chromium Browser)를 통해서 여러 점검 및 분석 등에 사용을 할 수 있다는 내용이었다. 그렇다면 임베디드 브라우저(Embedded browser)를 어떻게 사용하면 되는지 알아보도록 하자. 1. Burp Suite 최신 업데이트 진행 먼저 Burp Suite를 실행해보도록 하.. 2021. 7. 4.

[Burp Suite] 자동 완성을 해주는 유용한 확장 플러그인(Extender Plugin) Burp Suite(버프 스위트)라는 Proxy Tool(프록시 툴)을 사용하여 취약성 점검 등을 서비스 트래픽 분석에 사용한다. 여러 Parameter(파라미터)에 여러 값들을 입력해 취약 여부를 판단하고 경우가 있다. 이때 입력하는 여러 값들을 계속 수동으로 입력해야 하면 얼마나 번거로운 일이 되는가? 그래서 그런 번거로움을 조금이라도 줄이고자 아래 Burp Extender Plugin(확장 프러그인)을 소개 해보고자 한다. 1. 내용 Git : https://github.com/synacktiv/HopLa 이 Extender Plugin은 Burp Suite에서 자동 완성 지원과 유용한 Payload(페이로드)를 추가하여 침입을 더 쉽게 도와 준다. 또한, Payload(페이로드)는 사용자가 직접 .. 2021. 6. 12.

[Docker] 도커(Docker) 저장소 변경(Root Dir) 도커(Docker)를 설치하여 사용하다 보면 저장된 이미지(image) 들을 관리하지 않는 경우 디스크 풀(Disk Full)이 발생할 수 있다. 도커를 기본으로 설치하면 /(root) 영역에 쌓이다 보니 OS 자체에도 영향이 있을 수 있다. 그래서 도커에 대해서 확인해보니 저장되는 위치를 변경할 수가 있다. 그럼 변경하는 방법을 한번 알아보도록 하자. 1. 기본 저장소 위치 일단 기본으로 저장소 위치는 /var/lib/docker이다. $ docker info | grep "Docker Root Dir" # 도커(Docker) 기본 저장소 위치 $ docker info | grep "Docker Root Dir" Docker Root Dir: /var/lib/docker 2. 저장소 위치 변경 이제 디.. 2021. 2. 2.

[Redis] Redis(레디스) 설정 파일(redis.conf) 접근 권한 설정 Redis(레디스) 설정 파일에 others(모든 사용자) 권한이 존재할 경우 허용되지 않은 사용자가 설정 파일에 접근하여 Redis 설정 변경을 할 수 있다. 허용되지 않은 사용자가 접근하는 경우 첫 번째로는 Redis를 연동하여 사용하는 서비스의 장애(문제)등을 일으킬 수도 있다. 두 번째로는 해당 파일을 통해서 정보(패스워드 등)를 획득하여 해당 정보를 통해서 다른 2차 공격의 정보로 사용될 수도 있다. 그럼 Redis 설정 파일의 기본 권한과 권한 수정하는 방법에 대해서 알아보도록 하자. 1. Redis 기본 권한 확인 우선 Redis를 설치하게 되면 Redis 설정 파일인 redis.conf 파일은 /etc 디렉터리에 위치하고 있다. "ls" 명령어 와 "stat" 명령어를 통해서 해당 파일의 .. 2020. 12. 26.

[Nessus] 넥서스 정책 내보내기 / 가져오기(Nessus Policy Export / Import) 저번에 넥서스(Nessus) 정책을 새롭게 만들어 보았다. 2020/11/28 - [Security/Nessus(Essentials)] - [Nessus] 넥서스 새로운 정책 생성하기(Nessus Create New Policy) [Nessus] 넥서스 새로운 정책 생성하기(Nessus Create New Policy) 이번에는 넥서스(Nessus)에서 기본적으로 제공하는 정책(Policy)에서 필요하거나 / 필요 없는 부분들을 정리하여 새로운 정책을 만들 수 있다. 예를 들어 스캔 템플릿(Scan Templates) 중 "Advanced Scan"을 info-lab.tistory.com 이번에는 다른 넥서스에서 사용하던 정책 혹은 내가 사용하던 정책을 Export / Import를 하여 사용하는 방법을.. 2020. 11. 29.

[Nessus] 넥서스 새로운 정책 생성하기(Nessus Create New Policy) 이번에는 넥서스(Nessus)에서 기본적으로 제공하는 정책(Policy)에서 필요하거나 / 필요 없는 부분들을 정리하여 새로운 정책을 만들 수 있다. 예를 들어 스캔 템플릿(Scan Templates) 중 "Advanced Scan"을 살펴보면 해당 부분에는 "AIX Local Security Checks"라는 플러그인 룰(Plugins Rules)이 있다. 만약 해당 스캔 템플릿을 선택하고 CentOS 대상에 점검을 한다면 굳이 필요 없는 AIX 플러그인 룰이 실행이 되게 된다. 이럴 경우 AIX 플러그인 룰을 확인해야 하기에 Nessus를 구동하는 서버와 점검받는 대상 서버에 부담이 있을 수 있다. (물론 크게 차이가 나지는....) 그럼 이제 정책을 사용하는 대상 혹은 방식에 맞도록 새롭게 만들어 .. 2020. 11. 28.

[Nessus] 넥서스 웹콘솔 포트 변경하기(Nessus WebConsole Port Change) 이미 Nessus(넥서스) 설치 및 구동을 완료하였다. 참고로 아직 설치를 하지 않았다면, Nessus 설치 및 구동방법은 기존 작성한 내용을 참고하도록 하자. 2020/11/21 - [Security/Nessus(Essentials)] - [Nessus] 넥서스 구축하기(Nessus Essentials Install) - 1편 2020/11/22 - [Security/Nessus(Essentials)] - [Nessus] 넥서스 구축하기(Nessus Essentials Install) - 2편 Nessus WebConsole을 구동하여 접속을 하게 되면 기본 포트(Port)인 8834를 이용해야 한다. 물론 해당 포트를 사용하는 게 문제 되지는 않으나 HTTPS를 사용함에 포트 설정을 443 혹은 88.. 2020. 11. 23.

[Nessus] 넥서스 구축하기(Nessus Essentials Install) - 2편 전편에서 이제 Nessus(넥서스)를 설치하기 위한 Activation Code를 받는 방법을 알아보았다. 2020/11/21 - [Security/Nessus(Essentials)] - [Nessus] 넥서스 구축하기(Nessus Essentials Install) - 1편 [Nessus] 넥서스 구축하기(Nessus(Essentials) Install) - 1편 Nessus(넥서스)는 시스템 보안 취약점을 스캔하는 도구 이다. 위키 백과 내용을 살펴보면 sectools.org에 따르면 세계에서 가장 많이 사용되는 취약점 스캐너라고 한다. 네서스 (소프트웨어) - 위키백 info-lab.tistory.com 이번 2편에서는 Nessus 다운로드 및 설치하는 방법을 알아보도록 하자. 우선 설치는 Cent.. 2020. 11. 22.

[Nessus] 넥서스 구축하기(Nessus Essentials Install) - 1편 Nessus(넥서스)는 시스템 보안 취약점을 스캔하는 도구 이다. 위키 백과 내용을 살펴보면 sectools.org에 따르면 세계에서 가장 많이 사용되는 취약점 스캐너라고 한다. 네서스 (소프트웨어) - 위키백과, 우리 모두의 백과사전 위키백과, 우리 모두의 백과사전. 네서스(Nessus)는 상용 취약점 스캐너이다. 비 기업 환경에서 개인은 무료로 사용할 수 있다. sectools.org에 따르면 네서스는 세계에서 가장 많이 사용되는 취약점 ko.wikipedia.org 대량으로 스캔이 필요한 경우 Nessus Professional을 구매하여 사용하고 있으며 대략적으로 1년의 2,790달러 한화로 약 312만원 정도 한다. 다만, Nessus 회사인 tenable에서는 무료로 사용이 가능한 Nessus.. 2020. 11. 21.

[Burp Suite] 파이어폭스 브라우저에 Burp Suite CA 인증서 설치하기(Install Burp Suite CA Certificate in FireFox Browser) Burp Suite(버프 스위트)라는 Proxy Tool(프록시 툴)을 사용하여 취약성 점검 등을 하기 위해 서비스 트래픽 분석을 해야 한다. 다만, HTTPS통신을 확인하기 위해서는 Burp Suite CA 인증서를 브라우저(Browser)에 설치를 해야 HTTPS 통신의 트래픽을 확인할 수 있다. 여러 브라우저에 대해서 인증서 설치 방법을 계속적으로 남겨 놓도록 하겠다. 그 첫 번째로 파이어폭스 브라우저(FireFox Browser)에 설치하는 방법을 알아보도록 하자. 일단 Burp Suite를 실행하고 브라우저도 실행 후 Proxy 설정을 먼저 진행하도록 하자. 브라우저에 Proxy 설정하는 방법은 워낙 여러 가지임에 따라, 이 부분은 우선 생략하도록 하겠다. 참고로 필자는 파이어폭스 확장 기능을 .. 2020. 9. 3.

[Docker] 맥OS에 도커 설치하기(Install Docker on MacOS) 이번에 MacBook(맥북)을 새로 설치하는 과정에서 Docker(도커)를 다시 설치하게 되어 설치 하는 방법에 대해서 알아보도록 하자. 우선 Docker(도커)를 설치하기 위해 공식 홈페이지 통해서 다운로드 받아 설치하면 된다. Docker(도커) 사용 방법이나, Docker(도커)를 사용하는 방법은 다른 글을 통해서 작성하도록 하겠다. 1. 설치파일 다운로드(Installer Download) 공식 홈페이지로 접근하거나, Docker Hub(도커 허브)를 통해서 설치파일을 다운로드 하도록 하자. https://hub.docker.com/editions/community/docker-ce-desktop-mac https://www.docker.com/get-started 설명을 하기 위해서 Docker.. 2020. 8. 26.

[Influxdb] Influxdb(인플럭스DB) install(설치) for CentOS 7 파일명 : /etc/yum.repos.d/influxdb.repo [influxdb] name = InfluxDB Repository - RHEL \$releasever baseurl = https://repos.influxdata.com/rhel/\$releasever/\$basearch/stable enabled = 1 gpgcheck = 1 gpgkey = https://repos.influxdata.com/influxdb.key EOF실행 yum -y install influxdb[root@ ~]# yum -y install influxdb Failed to set locale, defaulting to C Loaded plugins: fastestmirror influxdb | 2.5 kB 00.. 2020. 8. 11.

[Grafana] Grafana(그라파나) Install(설치) 방법 for CentOS 7 Yum Repository 정보 생성 파일 명 `/etc/yum.repos.d/grafana.repo`아래 내용 입력 [grafana] name=grafana baseurl=https://packages.grafana.com/oss/rpm repo_gpgcheck=1 enabled=1 gpgcheck=1 gpgkey=https://packages.grafana.com/gpg.key sslverify=1 sslcacert=/etc/pki/tls/certs/ca-bundle.crt 설치 하기 명령어 실행 | yum install grafana [root@ ~]# yum install grafana Failed to set locale, defaulting to C Loaded plugins: fastestm.. 2020. 8. 11.

[Redis] Redis(레디스) 최신 버전으로 설치하기 ( 6.0 버전 ) Cent OS 7 버전에서 설치 하기 위해 찾아본 결과 아래와 같이 하면 최신 안정화 버전으로 설치 할 수 있었다. * SSH 터미널에서 다음 명령을 실행하여 Remi 저장소를 활성화 sudo yum install epel-release yum-utils sudo yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm sudo yum-config-manager --enable remi * 설치 하기 sudo yum install redis * 참고사이트 https://linuxize.com/post/how-to-install-and-configure-redis-on-centos-7/ How to Install and Configure Red.. 2020. 8. 11.

[SonarQube] SonarQube(소나큐브) 구동시 vm.max_map_count Error(에러) SonarQube(소나큐브)를 설치 후 구동시 시스템 설정에 따라서 구동이 되지 않고 아래와 같은 vm.max_map_count 관련 Error(에러)를 발생하는 경우가 있다. 해당 경우는 vm.max_map_count의 설정값이 어플리케이션에서 필요로 하는 수보다 작음에 따라서 발생하는 경우이다. $ ./sonar.sh console Running SonarQube... wrapper | --> Wrapper Started as Console wrapper | Launching a JVM... jvm 1 | Wrapper (Version 3.2.3) http://wrapper.tanukisoftware.org jvm 1 | Copyright 1999-2006 Tanuki Software, Inc. Al.. 2020. 6. 29.

[SonarQube] SonarQube(소나큐브) Admin 패스워드 변경 방법 SonarQube(소나큐브)를 설치하고 Admin 계정의 기본 패스워드로 사용하는 것은 매우 보안적으로 좋은 생각은 아니다. 물론 해당 페이지를 통해서 중요한 정보 노출이 되지 않을 수도 있지만, SonarQube는 코드 분석, 보안 취약점, 중요 정보 노출 등이 발생 가능하기에 Admin 계정의 패스워드는 변경하도록 하자. 변경하는 방법은 매우 쉽다. 1. 우선 해당 웹 페이지로 접속 후 Admin 계정의 기본 패스워드(admin)으로 접속을 하자. 2. 그리고 상단의 A 마크가 보이는 메뉴를 클릭 하고, My Account 메뉴를 클릭 하자. 3. Adminstrator 메뉴에서 Security 항목을 클릭하고, 기본 패스워드와 변경할 패스워드를 입력 하자. 4. 이제 로그아웃 후 변경 전 패스워드로.. 2020. 6. 23.

[SonarQube] SonarQube(소나큐브) 설치 하기 SonarQube(소나큐브)는 개발한 프로그램 코드상에서 보안 취약점, 버그, 중복 코드, 주석 등을 발견할 목적으로 사용하는 정적 코드 분석 오픈 소스 플랫폼이다. 물론 더 많은 언어와 기능 등을 사용하려면 상용으로 구매하여 사용을 해야 하나, 이미 오픈 소스로도 충분히 많은 언어를 지원 및 기능을 지원하고 있다. 무료로 사용 가능한 Community Edition에서는 총 15개의 언어를 지원하고 있다. 지원하고 있는 15개 언어도 사용성이 많은 언어이기 때문에 무료로 사용을 해도 무방하다. Java, JavaScript, C#, TypeScript, Kotlin, Ruby, Go, Scala, Flex, Python, PHP, HTML, CSS, XML and VB.NET 그럼 SonarQube를 .. 2020. 6. 23.

[Scanner] Trivy Scanner(트리비 스캐너) 서버/클라이언트 모드 사용 방법 앞서 Trivy Scanner에 단독 모드 사용 방법에 대해서 알아 보았다. 이번에는 Trivy 서버 / 클라이언트 모드 사용 방법에 대해서 알아보도록 하겠다. 1. 서버 / 클라이언트 모드(Server / Client) 서버 / 클라이언트 모드는 서버가 취약점 데이터베이스를 가지고 있고, 클라이언트는 취약점 데이터베이스를 다운로드가 필요 없으며 여러 위치(서버)등에서 이미지를 스캔을 진행할 수 있다. 1.1 서버 모드 설정 서버 모드 설정이 외부에서 사용하기 위해서는 --listen 옵션에서 localhost(127.0.0.1)이 아닌 0.0.0.0 으로 설정 하여 진행한다. $ trivy server --listen localhost:8080 2019-12-12T15:17:06.551+0200 INF.. 2020. 4. 25.

[Scanner] Trivy Scanner(트리비 스캐너) 단독 모드 사용 방법 앞서 Trivy Scanner 설치 방법에 대해서 간략하게 살펴보았다. Trivy는 단독 모드 및 서버/클라이언트 모드 방식으로 선택하여 사용이 가능하다. 이중 이번에는 Trivy Scanner 단독 모드시 사용 방법에 대해서 알아보도록 하자. 1. 단독 모드(Standalone) 1.1 이미지 스캔 $ trivy knqyf263/vuln-image:1.2.3 더보기 2019-05-16T12:58:55.967+0900 INFO Updating vulnerability database... 2019-05-16T12:59:03.150+0900 INFO Detecting Alpine vulnerabilities... 2019-05-16T12:59:03.156+0900 INFO Updating bundler S.. 2020. 4. 15.

300x250

이전 1 2 다음

티스토리툴바