| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
- 쿠버네티스
- 도커
- 1트합이최고다
- 라인 야후
- 하나라도잘해야할텐데
- CPPG
- 공시포기
- 제로트러스트
- 시험후기
- kubernetes
- SCS
- security specialty
- 넌내꺼야
- k8s
- 길벗
- 나라가힘이있어야해
- 보안이어서참다행이야
- 정보보안
- 보안
- 그냥나쁘지않다
- AWS
- 쿠버네티스교과서
- 개인정보침해
- docker
- Cloud
- 자격증
- 24년목표
- 합격후기
- 개인정보관리사
- 네이버 클라우드
- Today
- Total
목록전체 글 (8)
최고의 보안 전문가? 그거 나잖아
[ 버그바운티 ] 공부) open redirect, hpp, csrf ,html injection
예전 작성 글 정리 버그바운티 _ open redirect > 개념 >> 기본 개념 open redirect 란 리다이렉트 시키는 기능을 악용하여 피해자를 공격자가 의도한 위치로 이동시키는 공격방식이다. 리다이렉트란 다른 페이지로 이동시키는 기능을 말한다. 사용자를 다른 페이지로 이동시키는 방법은 크게 두가지가 있는데 리다이렉트와 포워드이다. 포워드의 경우 서버 측에서 작동하고 리다이렉트의 경우 클라이언트 측에서 동작한다는 큰 차이가 있다. 많이 쓰이는 spring 을 예로 들면 포워딩의 경우 컨트롤러가 다른 뷰를 가지고 오는 것이고 리다이렉트의 경우 다른 경로로 이동 돼 다른 컨트롤러를 호출하는 개념이다. 흔한 취약점(?)이고 서비스 자체에 큰 영향을 끼치지는 않는 취약점이다 보니 ..
1을 이미 포스팅해서 순서가 조금 이상하지만 ... 일단 쿠버네티스 보안 단계 ( 도서 '쿠버네티스 교과서' 참조) 단계에 맞춰서 간단하게 포스팅을 하고자 한다. 1. 보안 컨텍스트 (securitycontext) 적용 2. 네트워크 폴리시 적용 3. 어드미션 컨트롤 설정 4. 역할기반 제어 설정 5. 컨테이너 이미지 취약점 탐색 6. 골든이미지만 운영리포지토리로 푸시되도록 파이프라인 구성 7. 보안 모니터링
1. 컨테이너로 리눅스 가동시 root 실행을 최소화 해야한다. - 커널을 공유하기 때문에, 컨테이너에서의 root 권한이 호스트에서도 root 권한으로 이어져, 컨테이너가 운영중인 서버 침탈이 가능하다.-security context 필드를 추가해서 실행 권한을 바꾸면되는데, 이때 root 계정이 무조건 필요한 설정의 경우 해당 설정들 까지 전부 변경해야하는 번거로움이 있다. 2. 그럼에도 불구하고 user 권한도 쿠버네티스 api 에 접속이 가능한데,,,, - 쿠버네티스 api 토큰의 경우 누구든지 읽을 수 있는 상태로 마운트 된다. (쿠버네티스 api로 무엇을 할 수 있는지는 클러스터의 설정에 따라 다르다)- 따라서, api를 사용하지 않는 경우 파드정의를 이용해 컨테이너에 토큰 마운트를 금..
도커에서 우분투 실행할 때 예전에 docker run ubuntu 가 안돼서 서치결과 무작정 -it 로 터미널을 연결시켜주면 된다는 해결책을 보고 줄곧 그렇게 사용했었다. 그 이유에 대해서 깊게 생각해 보지 않았는데쿠버네티스 강의 듣다가 이유를 알게되서 기쁜마음에 작성하는 글 1. 컨테이너는 위에서 동작하는 애플리케이션이 없으면 종료된다.2. 컨테이너 이미지에는 CMD[] 부분이 있는데 컨테이너를 만들어 동작시키면 해당 CMD 부분의 명령이 실행된다. -> 애플리케이션 동작3. ubuntu 의 CMD[] 는 bash 이다. 4. bash 는 혼자 작동하는 프로세스가 아니다. (비교, nginx 의 경우 nginx 커맨드가 실행되서 nginx 프로세스가 실행됨)5. bash 는 터미널과 연결시켜줘야 ..
[ 라인 야후 이슈 ] 일본 정부의 개인 정보 침해 사고에 대한 주장에 관하여...
* 본 글은 전문지식이 없는 대학생의 개인적인 의견입니다. 5월 2일 조선일보에 다음과 같은 기사가 발행되었다. https://www.chosun.com/economy/tech_it/2024/05/02/W2MOWWWEXZANHDLHGYHMMKLHSY/ [단독]네이버 옥죄는 日....2차례 행정지도 이어 한국 정부에 조사 요구단독네이버 옥죄는 日....2차례 행정지도 이어 한국 정부에 조사 요구 日 국민메신저 라인 매각 압박 작년 9월 해킹 사건 조치 미흡www.chosun.com 요약하면, 라인야후의 모회사 지분을 네이버와 일본 소프트뱅크가 각 절반씩 보유하고 있는데 네이버의 지분 매각을 압박하기 위해 과거의 개인정보 유출 사건을 들먹인다는 것이다. 해당 개인정보 유출사건의 과정을 요약하면 다음과 같다...
[ kubernetes ] 쿠버네티스 일주일, 쿠버네티스의 매력을 털어보자
쿠버네티스랑 처음 만난지 일주일정도 되었다. 학교도가고 알바도 하고 대자연의 호르몬 때문에 많은 시간을 투자하진 못했지만 일주일이라는 시간은 쿠버네티스의 매력을 탐구하기에 충분한 시간이었던 것같다. 여기서 말하는 매력포인트는 [ 쿠버네티스 교과서 ] 책을 200페이지 까지 보고 나서 뭔가 나의 마음을 이끈 부분들을 정리한 것이다... 쿠버네티스의 정말 응애 기능들 밖에 익히지 못했지만 그것만으로 두근대잖아.. 두근두근 쿠버네티스의 매력포인트 1번 - 첫 충격 디플로이먼트 처음에 책 앞부분을 봤을 때 처음으로 받은 충격은 디플로이먼트였다. 파드가 오류나거나 하면 알아서 다시 복구해서 똑같은 파드를 생성한대... 충격.... 그냥 뭔가 너무 신기했다. 그냥 신기했다... 이런 파드의 짧은 생명..
[web] 스프링부트로 게시판 만들기 - 점프 투 스프링부트
springboot는 예전에 클라우드 워게임 만들때 딱 한번 진짜 파일다운로드 기능 하나 구현해 본적이 있다.자바는... 학교에서 한번 배우긴 했는데 c++ 랑 비슷한 거같아 그렇게 어려울거라고 생각은 안해서 springboot로 한번 도전,,! 오늘 안에 끝내는게 목표..!(근데 앞으로의 고난과 역경에서 자바가 문제가 아니었다는게 진짜... 과거의 나 너무 무식했다..근데 또 하다보니 재밌어서 스프링으로 하길 잘했다는 생각이.. php로 경험할 수 없는 신기한 기능이 짱많..)https://wikidocs.net/ 2-03 JPA로 데이터베이스 사용하기* `[완성 소스]` : [https://github.com/pahkey/sbb3/tree/v2.03](https://github.com/pahkey/s..
[ CPPG ] cppg 41회 합격 후기
- cppg 41회 합격 후기 사실 합격후기 쓸까말까 고민을 많이했다.. 합격했다고 말하기 민망한 점수로 합격하기도 했고.... 하지만 나의 경우 자격증 준비할 때 합격후기를 다 찾아보고 도움을 많이 받는 편이라 누군가에게 아주 조금이라도 도움이 되지 않을까하고 써본다... 일단 보안분야 아예 노베는 아니고 아주 조금의 베이스 + 단기합격 후기이니 참고하시길.... 요약(시간 없으신분들을 위해) - 보안 분야 공부하는 문과생 ( -> cppg에 유리한 조건이지 않았을까... )- 공부기간 일주일 , 하루 4시간 정도 - 초록책을 중점으로 중요한 부분 인덱싱 하면서 회독 (헷갈리는 부분은 체크해놓고 계속 확인하고 암기)- 부족한 부분 위주로 공부 (나 같은 경우 개인정보보호법을 처음 ..