공부284 [AWS WAF] #2 SQL Injection & XSS 공격과 방어 (AWS managed rule) 목차 1. SQL Injection 공격/설명 2. XSS (Reflected) 공격/설명 3. WAF로 방어 ※ 시작 전에! 첫번째 글에서 깔았던 크롬 확장 도구인 Browsec VPN을 ON 한 상태로 시작하겠다 우리나라에서 뭘 많이 막아논건지 뭐가 문젠진 모르겠지만 암튼 그냥 공격하면 안먹힘 1. SQL Injection 1-1) 일단 공격해보기 DVWA의 SQL Injection 탭으로 이동해서 ' OR 1=1 # 을 작성해서 Submit을 눌러보자 여러 계정 정보들이 출력된다 (공격 성공) 1-2) 공격 설명 📌 SQL Injection이란? 악의적인 사용자가 보안상의 취약점을 이용하여 임의의 SQL문을 주입하고 실행되게 해 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위 User ID에 .. 2021. 2. 25. [AWS WAF] #1 사전 리소스들과 WAF 구성 목차 1. 사전 리소스 구성 2. 만들어진 DVWA 확인 3. WAF Web ACL 구성 1. 사전 리소스 구성 위 템플릿 파일을 다운받아 CloudFormation 스택을 생성해보자 인스턴스 타입과 VPC 대역은 변경 가능하다 디폴트값으로 진행했을 때 생성되는 리소스들은 아래와 같다 준비된 환경에 WAF까지 구현한 아키텍처는 다음과 같다 2. 만들어진 DVWA 확인 스택 배포로 생성된 ALB의 DNS로 접속해보면 DVWA의 로그인 페이지로 접속된다 초기 ID : admin / 비밀번호 : password 왼쪽의 메뉴들 중 DVWA Security 탭으로 이동해 Security Level을 Low로 설정한 후 Submit을 해주자 취약점을 공격하기 쉬운 단계로 낮추는 것이다 (레벨별로 공격하는 방법이 다.. 2021. 2. 25. [AWS WAF] #0 실습 전 준비 AWS 공식 WAF 실습을 진행해보겠다 먼저 WAF란? HTTP(S) 요청을 모니터링하고 보호하는 웹 애플리케이션 방화벽 특정 공격 패턴(SQL Injection, XSS 등)을 차단, 특정 트래픽 패턴을 필터링 등을 할 수 있다 차단된 요청에 대해선 HTTP 403 코드로 응답한다 비용은 사용한 만큼 : 배포한 규칙 수와 애플리케이션이 수신한 웹 요청 수 기준 WAF 배포 가능한 리소스 : CloudFront, ALB, API Gateway, AppSync DVWA란? Damn Vulerable Web Application PHP와 MySQL로 만들어진 웹의 취약점에 대한 공격 및 방어 기술 교육에 사용되는 오픈소스 애플리케이션 더보기 https://dvwa.co.uk/ https://github.co.. 2021. 2. 25. [Windows] CMD에서 Telnet 사용하기 설정 > 앱 및 기능 > 프로그램 및 기능 Windows 기능 켜기/끄기 맨 밑에 텔넷 클라이언트 체크 후 확인 알아서 설치 됨 CMD 열어서 해보면 해당 IP의 해당 포트가 잘 열려있는거 확인 끝 2021. 2. 17. [Linux] SWAP 메모리 설정 SWAP 메모리란? 메모리가 부족할 때, 디스크를 메모리처럼 사용하는 것 SWAP은 안쓰는게 제일 좋지만, 캐시를 많이 사용하는 경우(DB 등)엔 많이 활용하게 된다 SWAP 설정하기 실습 환경 : AWS EC2 Linux 2 mkdir -p /var/lib/swap # swap 메모리로 쓸 폴더 생성 dd if=/dev/zero of=/var/lib/swap/swapfile bs=50M count=10 # dd : 블록 단위 복사 # /dev/zero는 아무것도 없는 파일임 => 깡통 500MB짜리 swap 메모리 만드는거 mkswap /var/lib/swap/swapfile swapon /var/lib/swap/swapfile # swap 만들고 on 시켜줌 cat /proc/swaps free -m.. 2021. 2. 16. [AWS] VPN과 TGW, VGW, CGW (+TGW cost) 이전에 Transit Gateway와 VPC Peering에 대한 글을 쓴 적이 있다 하지만 Transit Gateway(이하 TGW)는 VPC 뿐 아니라 VPN을 엔드포인트로 연결할 수 있어 전체적인 아키텍처에서 라우터같은 느낌이다 이번 글에서는 온프레미스 - AWS VPC를 VPN으로 연결하는 방법 중 TGW를 사용하지 않을 때와 사용할 때로 나눠서 알아보겠다 VPN(Virtual Private Network)이란? 그냥 온프레미스 장비랑 연결하기 위해 뚫는 터널이다 이 때, 온프레미스 장비 앞에는 Customer Gateway(이하 CGW)가 있어야 한다 근데 CGW는 사실 장비 정보를 적어놓은 리소스일 뿐 실제 연결을 CGW를 통해서 한다는가 하는 게이트웨이 느낌은 아니다. 그저 CGW에 적어놓은.. 2021. 2. 4. [AWS] Lambda로 EC2 Start/Stop + CloudWatch 규칙으로 트리거 >> Lambda 코드만 모아둔 GitHub 0. 기본 구성 기본 VPC에 EC2 2개 만들어놓고 진행하겠다 EC2 인스턴스 id들은 복사해두자 1. IAM 정책 생성 Lambda 함수에서 EC2를 시작/중지 시킬 수 있는 role을 만들어야 하기 때문에 정책을 먼저 만들어주겠다 IAM > 정책 > 정책 생성 > JSON으로 들어가 아래의 코드로 변경 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:*" }, { "Effect": "Allow".. 2021. 1. 19. [AWS] Transit Gateway 사용해보기 (+ VPC Peering과 다른 점) 서로 다른 VPC에서 사설 IP로 통신을 하기 위해선 VPC 피어링을 사용하면 된다 그러나, 두세개 정도가 아닌 훨씬 많은 VPC들을 전부 연결해주려면 너무 복잡하고 일이 많아진다 이럴 땐 Transit Gateway를 쓰면 한번에 라우팅을 관리할 수 있다 이러면 사실 VPC Peering을 왜 쓰냐고 할수도 있을텐데, Transit Gateway는 비싸다(...) 아무튼 Transit Gateway를 만들어보기 위해 VPC를 5개정도 만들어보겠다 스택을 생성할 때 마다 MainNumber만 알아서 다르게 해주면 자동으로 그에 맞는 VPC와 Subnet, EC2들이 생성된다 1. VPC 생성 아래와 같이 MainNumber 파라미터만 다 다르게 해서 생성해주자 2. 리소스 확인 Bastion 중 아무나에.. 2021. 1. 18. [Network] Bastion Host의 이해 (= Proxy) VPC와 사설 IP의 개념 참고 VPC를 하나의 학급이라고 생각하자면, 사설 IP는 학급 내 학생들의 반 번호라고 볼 수 있겠다 학급 내부에선 해당 IP(반 번호)로 서로를 부를 수 있지만, 학급 밖에선 해당 번호가 무용지물이 된다 그렇다면 외부에서 VPC 내의 서버들을(학급 내의 학생들을) 불러야 한다면 어떻게 해야할까? 당연히 전 세계에서 유일한 번호인 공인 IP로 불러야 한다 근데 그렇다고 모든 서버들에게 공인 IP를 붙이자니 돈도 많이 들고 보안상 좋지도 않으며 사실상 VPC를 만든 의미도 없다 이럴 때 필요한 것이 바로 Bastion Host이다 Bastion은 말 그대로 요새, 방어막, 문지기라고 생각하면 된다 Bastion Server로 접속할 수만 있으면, 그 Bastion이 속한 VPC .. 2021. 1. 12. [PHP] 서버에 부하 넣는 Web php 코드 Generate Load 서버에 stress가 깔려있어야 제대로 실행됨 Start 버튼을 누르면 stress 명령을 실행하고 Stop 버튼을 누르면 kill을 실행한다 실행한 모습 Start Stress를 눌렀을 때 Stop Stress를 눌렀을 때 끝 2021. 1. 8. [AWS CloudFormation] #7 Auto Scaling Group 만들기 ( + Launch Configuration, ALB ) >>진행한 실습 GitHub 이 실습은 아래 파일로 이미 생성된 vpc와 ec2를 가지고 진행된다 이 파일의 Fn::Select 함수와 Fn::GetAZs 함수는 공식문서로 확인해보자 만들어진 EC2는 웹으로 접속하면 이런 화면이 뜬다 (위 버튼들로 부하를 주고 꺼서 오토스케일링을 확인할 예정 - 해당 php 파일도 깃헙에 있음) 이 EC2의 AMI를 따서 만들어놓은 후 ASG를 진행하도록 하겠다 (AMI를 뜨는것도 CloudFormation으로 해보려 했는데 찾지 못했다ㅜ) 1. Parameter Parameters: Key: Description: KeyPair Type: AWS::EC2::KeyPair::KeyName VPC: Description: VPC Type: AWS::EC2::VPC::Id.. 2021. 1. 8. [AWS CloudFormation] #6 IAM User, Policy 생성 >>진행한 실습 GitHub 1. IAM User 바로 만들기 AWS::IAM::User Resources: AdminUser: Type: AWS::IAM::User Properties: LoginProfile: Password: P@ssw0rd Policies: - PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: '*' Resource: '*' PolicyName: Admin UserName: Admin1 AdministratorAccess의 정책을 가져와봤다 2. IAM Policy를 만들어서 User에 붙이기 AWS::IAM::Policy Resources: AdminUser: Type: AWS::IAM::User Pro.. 2021. 1. 6. [AWS CloudFormation] #5 RDS 생성하기 (for MySQL) >>진행한 실습 GitHub 기존 ec2 만든 실습에서 연장해서 진행했는데, VPC의 구성을 좀 바꿔야 했다 RDS는 서브넷 그룹을 만들어서 지정해야 하는데, 서브넷 그룹은 2개 이상의 가용영역의 서브넷들이 존재해야 한다 그래서 private subnet을 하나 더 만들어주고, 그에 맞게 parameter도 바꿔주었다 Parameters: AZprivate1: Description: AvailabilityZone for private Type: AWS::EC2::AvailabilityZone::Name AZprivate2: Description: AvailabilityZone for private Type: AWS::EC2::AvailabilityZone::Name PrivateSubnet1Cidr: D.. 2021. 1. 6. [AWS CloudFormation] #4 mapping 사용하기 (EC2 AMI) >>진행한 실습 GitHub ec2 만든 실습에서 ami를 설정하는 부분을 좀 고쳐보겠다 지난번엔 파라미터만 사용해서, 디폴트 값이 있지만 다른 ami를 원하면 직접 복사해서 넣어야했다 이번엔 매핑을 사용해 Linux2 또는 Windows 2019 Base 둘 중 하나를 선택하면 해당 리전에 맞는 ami가 자동으로 설정되도록 해보겠다 Mappings: RegionMap: us-east-1: Linux2: ami-0be2609ba883822ec Window2019: ami-0229f7666f517b31e us-east-2: Linux2: ami-0a0ad6b70e61be944 Window2019: ami-0d5b55fd8cd8738f5 us-west-1: Linux2: ami-03130878b60947df.. 2021. 1. 6. [AWS CloudFormation] #3 웹서버용 EC2 만들기 (SG, EC2, UserData) >>진행한 실습 GitHub 위 그림과 같이 만들어볼건데, RDS는 추후에 하도록 하겠다 오늘은 APM 설치되어있는 EC2 생성까지만 기본적인 VPC 설정에 대한 설명은 생략하겠다 전체 코드는 밑에 있으니 설명이 필요한 사람은 이전 글을 보고 오자 1. Security Group AWS::EC2::SecurityGroup SGforWeb: Type: AWS::EC2::SecurityGroup Properties: GroupDescription: allow 22, 80 GroupName: webaccess SecurityGroupIngress: - IpProtocol: tcp FromPort: 80 ToPort: 80 CidrIp: 0.0.0.0/0 - IpProtocol: tcp FromPort: 22 .. 2021. 1. 5. 이전 1 ··· 12 13 14 15 16 17 18 19 다음
