의미없는 블로그

NET-049. 명령어 실행 권한 제한 여부 명령어 실행 권한이 Level 15 로 되어있지 않을 경우 취약으로 판단 주요 명령어에 대해 실행 권한 Level 15 로 설정 되어 있는지 점검 스위치, 라우터 둘 다 해당되는 항목이고 근데 brocade, bigip 등의 장비는 해당 없음 cisco, a10 장비만 해당 Level 15 가 최고 권한인데 주요 명령어에 대해서 privilege 15 로 설정해서 관리자만 실행 가능하게 설정하라는 내용 1) 사용자별 권한 분리를 한 다음에 2) 명령어별 권한 분리를 하라는건데 참고: https://itinformation.tistory.com/378 근데 uvm 에서 사용자별 role 분리 되어있다는것 만으로 양호로 때리고 있다 사용자별 권한 분리 되어있다고 ..

NET-010. enable secret 설정 여부 enable secret 설정해서 패스워드 암호화 되어있으면 양호 service password-encryption 설정 여부 확인 Cisco 에서 암호화 타입 여러가지가 있는데 5는 MD5, 8은 SHA-256, 9는 Sycript 라고 한다 5도 암호화 되어있다고 볼 수 있긴 한데 최신 장비들은 Type 9를 권고한다고 함 service password-encryption 설정 되어있으면 username 아이디 secret 9 ~~~ 이런식으로 패스워드 암호화 되어 나온다 근데 service password-encryption 설정 없어도 패스워드가 아예 평문으로 노출되진 않음 (기본 설정이 그런건가?) 1) 얘는 일반적인 케이스 service pa..

AndroidManifest.xml 에서 스키마 존재할 때 am start -n [패키지명]/[액티비티명] -d [스키마] 인텐트에 대한 검증이 없으면 타 사이트로 리다이렉트 시킬 수 있다 (취약) 공격자가 해당 인텐트 호출하는 페이지 만들어서 클릭하면 타 사이트(ex. 악성 사이트)로 넘어가게끔 할 수 있다 ↓ 요거 클릭하면 네이버로 넘어가게 인텐트에서 넘어가는 값에 대해 잘 검증해야 한다 getIntent() 같이 인텐트 받아오는곳 위주로 봐야 하는데 1. 스키마(wxxxx)가 있는 액티비티(SchemeInterfaceActivity.class)를 열어서 2. 액티비티(SchemeInterfaceActivity.class) 에서 OnCreate 를 찾는다 Intent intent = getIntent..

pc랑 단말기랑 frida 버전(15.1.14) 같아야 함 python 3.7 이상이어야 함 pc에 frida 15.1.14 버전 설치 pip install frida==15.1.14 pip install frida-tools==10.4.1 단말기에서 frida-server 구동시켜 줌 cd /data/local/tmp ./frida-server & pc 에서 frida-ps -Ua 하면 구동중인 앱 리스트 뜬다 메모리 뜨고자 하는 앱 pid 확인해서 fridump3.py 돌림 python fridump3.py -u -r [pid] -s 아이디 정보는 있는데 패스워드는 안나오넹 양호 가야지

NET-008. 강화된 인증기능(AAA) 사용 여부 AAA 인증이 설정되어 있거나 별도의 인증서버(TACACS+, RADIUS 등)가 설정되어 있으면 양호 AAA 인증 설정이 안되어있는 경우 Local 사용자 설정이 되어있는지 여부를 점검 AAA 라고, Authentication(인증) / Authorization(인가) / Accounting(계정) 에 관한 설정이라고 보면 되고 TACACS+, RADIUS 프로토콜이 주로 사용된다고 한다 네트워크 장비의 경우 로컬 계정으로 로긴하는 경우보다 이러한 인증서버로 접근하는 경우가 많은것 같다 그래서 인증서버를 사용 안하는 경우에는 아래 항목을 점검하면 될 것 같다 (현재 인증서버 사용하고 있으니 아래 항목은 양호 또는 N/A 로 가야겠다) NET-007. ..

NET-004. SNMP 커뮤니티 권한 설정 SNMP Community String 권한이 RO(Read Only)여야 양호 bigip_base.conf 에 보면 커뮤니티 스트링 설정은 되어있는데 권한 설정은 안보임 구글링 해보니까 설정 default 로 RO 라고 한다 (양호) 참고 : https://clouddocs.f5.com/products/orchestration/ansible/devel/modules/bigip_snmp_community_module.html

참고 블로그 : https://dobby-isfree.tistory.com/75Elastic Stack : https://documentation.wazuh.com/4.5/deployment-options/elastic-stack/index.html 와저 이벤트 연동하는거 해보려고 했는데보니까 자료가 Elastic Stack 방식 같네유 Elasticsearch / Manager+Filebeat / Kibana 이렇게 각각 설치해도 되고한 서버에 올인원으로 설치해도 된다 Discover 에 보면 알아서 sca 로그 뜸다른것도 출력하고 싶으면 설정해야댐/var/ossec/etc/decoders/local_decoder.xml/var/ossec/etc/rules/local_rules.xml↑↑ 요렇게 설정해..

에이전트 /var/ossec/etc/local_internal_options.conf 에서 아래와 같이 설정 해줘야 기능 쓸 수 있음 wazuh_command.remote_commands=1 → wodle 관련 sca.remote_commands=1 → sca yml 관련 서버 /var/ossec/etc/shared/default 에서 aaa.txt 만들면 에이전트 /var/ossec/etc/shared 에 aaa.txt 배포된다 서버 /var/ossec/etc/shared/default 에 new_linux_ubuntu.yml 올리고 /var/ossec/etc/shared/default/agent.conf 수정해주면 에이전트 /var/ossec/etc/shared 에 new_linux_ubuntu.ym..