[2025.05.23] 뭉게뭉게_5주차 활동

5주차에는 인프런 강의 <AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안> 섹션 8(일부), 9를 공부했다.

https://inf.run/5quxH

AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안 강의 | 보안프로젝트 - 인프런

 

자동화 도구 목적

• 디렉터리명과 파일(정상적인 파일, 불필요한 파일, 테스트 파일) 구조 파악
• 애플리케이션 취약한 버전 정보
• 파라미터 입력 값 검증 (sql 인젝션, XSS, command 인젝션 등 취약점 검증)
• sql injector, command injector … = Fuzzing
• 워드프레스 플러그인 취약점
• 계정 무작위 대입
• SSH, telnet 공격 도구

칼리 리눅스에서 OWASP ZAP 설치 방법

• OWASP ZAP이란?
  • 오픈 소스 웹 애플리케이션 보안 스캐너
• 설치 방법
  • sudo owasp-zap
  • 윈도우에서는 OWASP ZAP 검색해서 다운로드
• 구성 요소
  • 메뉴 바 (상단): 파일, 편집, 보기 등 기본적인 메뉴
  • 툴바 (메뉴 바 아래): 자주 사용하는 기능들에 빠르게 접근할 수 있는 버튼 존재(새 세션 만들기, 스캔 시작하기 등의 기능)
  • 사이트 트리 패널 (왼쪽): 스캔한 웹사이트의 구조를 트리 형태로 보여줌, 사이트의 모든 URL과 디렉토리를 한눈에 볼 수 있음
  • 작업 영역 (중앙): 여러 탭으로 구성되어 있고, 요청/응답 내용, 스캔 결과 등을 볼 수 있음
  • 정보 패널 (하단): 알림, 출력, 히스토리 등 다양한 정보를 제공함, 특히 알림 탭에서는 발견된 취약점들을 확인할 수 있음
• 주요 모드
  • 안전 모드: 읽기 전용 작업
  • 보호 모드: 기본 모드로, 설정된 범위 내의 사이트만 스캔하고 공격함
  • 공격 모드: 모든 사이트에 대해 스캔과 공격 가능
• 디렉터리명과 파일 구조 파악
  1. 크롤링 기법 (스파이더) : 링크되어 있는 것만 검색→ 버전 정보가 노출되어있나 확인 가능→ 에러 처리 미흡 확인 가능
  2. → 디렉터리 리스팅 설정 미흡 확인 가능
  3. → HTML에 중요 정보가 포함되어있나 확인 가능
  4. 무작위 대입 (사전 파일)→ 불필요한 테스트 페이지
  5. → 백업파일 (zip, bak, ..)
  6. → 민감한 디렉터리 검색 (관리자 페이지)
  200 ok가 뜨면 해당 디렉터리가 있음을 나타냄

AWS WAF (웹방화벽)

• AWS WAF란?
  • 고객이 정의한 조건에 따라 웹 요청을 허용, 차단 또는 모니터링 하는 규칙을 구성하여 공격으로부터 웹 애플리케이션을 보호하는 웹 애플리케이션 방화벽
• 이점
  • 향상된 보호
    • 표준 VPC와 보안 그룹과 별도로 WAF의 ACL 규칙을 활용하여 일반적으로 발생하는 웹 공격으로부터 애플리케이션을 추가로 보호 할 수 있음
  • 고급 트래픽 필터링
    • 간단한 NACL 또는 보안 그룹과 달리 WAF는 헤더에 있는 값, 요청의 원본 IP 주소, 요청에 SQL 코드가 있는지 여부와 같은 웹 요청의 응답 특성을 기반으로 사용자 지정 규칙 및 조건을 정의 할 수 있는 기능을 제공
    • 미리 설정된 조건에 따라 기본적으로 트래픽을 허용, 차단 또는 필터링 할 수 있음
  • 손쉬운 관리
    • 정의된 WAF 규칙은 중앙 위치에서 관리되므로 동일한 WAF API 또는 웹 사용자 인터페이스를 사용하여 여러 CloudFront CDN과 Application Load Balancer에 걸쳐 사용자 지정 ACL을 쉽게 재사용 및 전파하고 트래픽을 모니터링하고 문제를 완화 할 수 있음
  • 효율적인 비용의 보안 솔루션
    • WAF 활용의 일부는 선불 수수료나 비용이 전혀 없음
    • WAF를 사용하여 만든 규칙 수와 웹 애플리케이션이 수신하는 트래픽 양에 따라 비용을 지불함

AWS WAF (웹방화벽) 조건, 규칙 작동 방식 참고