분류 전체보기139 서버보안 / PAM (Pluggable Authentication Modules) PAM (Pluggable Authentication Modules) 시스템 관리자가 응용프로그램들이 사용자를 인증하는 방법을 선택할 수 있도록 해 주는 공유 라이브러리 묶음이다. 즉, 사용자를 인증하고 그 사용자의 서비스에 대한 액세스를 제어하는 모듈화된 방법을 말한다. PAM은 관리자가 응용프로그램들의 사용자 인증 방법을 선택할 수 있도록 해 준다. 필요한 공유라이브러리의 묶음을 제공하여 PAM을 사용하는 응용프로그램을 재컴파일없이 인증 방법을 변경할 수 있다. 1. PAM 구성파일의 문법 module type, module interface 타입토큰은 PAM에 이 모듈에 어떤 타입의 인증이 사용될 것인지를 알려준다. 같은 타입의 모듈은 "쌓일" 수 있고, 사용자에 인증되기 위한 다중 요구사항을 만족.. 2021. 7. 6. 서버보안 / 개요 리눅스 시스템 보안의 대한 6가지 보안 주제 계정과 패스워드 관리(Account & Password Management) 적절한 권한을 가진 사용자를 식별하기 위한 가장 기본적인 인증수단, 시스템의 모든 자원은 사용자 계정으로 접근이 가능하다 1. 관리 대상 계정 운영체제 계정 관리 데이터베이스 계정 관리 응용 프로그램 계정 관리 네트워크/보안 장비의 계정관리 2. 패스워드 관리 페스워드 보안의 4가지 인증방법 1) 알고 있는 것(Something You Known) : 알고 있는 정보를 이용하여 인증하는 방법(EX: 패스워드, PIN 번호) 2) 가지고 있는 것(Something You Have) : 신분증이나 OTP(One Time Password) 장치를 통한 인증 방법(EX: 출입카드, 사원카드).. 2021. 7. 6. [wargame.kr] Question 12. Type confusion 문제 Simple Compare Challenge. hint? you can see the title of this challenge. :D 풀이 페이지 접근 시 간단한 입력폼과 view-source 하이퍼링크가 제공되고 있다 하어퍼링크를 통한 내용을 확인해보자. 코드 확인 시 사용자로부터 입력받은 내용과 “welcome to wargame.kr!_”을 sha1 해싱한 값이 ==비교인자로 일치한다면 flag 값을 출력 하는걸로 확인된다. 기존 strcmp 의 문제와 유사한 문제이다. php의 비교 연산자가 == 일 경우 입력값의 따른 결과를 True 로 출력 할 수 있도록 하는 문제이다. php 에서 비교연산자가 == or ===에 따라서 결과값은 다르게 출력되는 걸 확인할 수 있다. 이 문제에서는 “p.. 2021. 6. 30. 암호학 / 해시(Hash)함수 해시 함수 파일의 지문이라고도 함. 파일 또는 메시지를 입력받아 고정된 길의의 해시을 구하는 알고리즘에 따라 해당 객체의 대한 고유해시값을 출력하는 함수, 주로 메시지의 오류 또는 변조를 탐지할 수 있는 무결성을 제공하기 위헤 사용된다. 즉 어떠한 객채의 입력값이 아주 일부만 변경되도 고정된 해시값의 출력결과는 다르기에 변조여부를 탐지할 수 있다. 해시 함수의 성질 1) 고정된 길이의 출력 어떠한 크기의 메시지라도 크기에 관계없이 입력으로 사용할 수 있다, 또한 어떠한 메시지를 입력으로 주더라도 해시함수는 짧은 해시값을 생성한다. 2) 빠른 계산 속도 해시 값의 계산은 고속이어야 한다, 메시지가 길어지더라도 해시값을 구하는 시간이 일부 길어지는건 어쩔수 없으나 물리적인 현실 시간 내에서 계산할 수 있어야.. 2021. 6. 30. [wargame.kr] Question 11. tmitter 문제 you need login with "admin"s id! =========================== create table tmitter_user( idx int auto_increment primary key, id char(32), ps char(32)); 풀이 문제 접근 시 로그인가능한 페이지와 계정을 생성할 수 있는 페이지 두가지가 확인된다. 로그인을 위해 계정 생성 페이지로 접속 시 개발자 도구(F12)를 통해 소스코드 확인을 위해 진입해보니 admin으로 접속하는 것을 힌트로 제공받을 수 있다. admin 계정을 생성하려고 하면 이미 존재하는 계정이라고 확인된다. 임의의 계정을 생성하여 사이트로 로그인을 시도해본다. testasdf 유저를 생성하여 로그인을 성공할 수 있고 별다른.. 2021. 6. 28. [wargame.kr] Question 10. md5_compare 문제 JUST COMPARE ONLY. with the other value :D 다른 값을 사용하여 비교만 하면 된다 풀이 2가지 변수의 대한 입력을 받을 수 있는 페이지와 소스코드를 확인할 수 있는 하이퍼링크가 제공된다. 2 변수의 값을 비교하여 답을 출력하는것으로 예상된다 소스코드를 확인해보자. php 소스코드가 제공되며 정답을 도출할 수 있는 방법이 확인되고 있다 소스코드를 분석하면 1) v1과 v2는 Get_Method를 통해 입력을 받는걸 확인할 수 있다. 2) v1은 알파벳으로 구성되어있고 v2는 숫자로 구성되어있다. 3) v1과 v2를 md5()를 통해 해시값으로 변경되며 두 값을 비교한다 4) md5해시화한 두 값이 일치하면 chk=True가 되며 flag 값을 출력한다 php는 Type.. 2021. 6. 28. 이전 1 ··· 5 6 7 8 9 10 11 ··· 24 다음
