또 Vmware의 가상머신에 SSH로 연결하려 했더니 연결 오류가 났다. 지난번에는 오류 문구라도 있었는데, 이번에는 그냥 Connection failed다.

Vmware에 새로운 가상머신 설치후 Xshell로 접속하려고 하니 socket error가 발생했다. 이 전에도 이런 일이 있었어서 해결 방법을 찾아 정리 해 둔다.

몇달 전에 내가 전에 쓰던 아이폰을 탈옥 했는데, 그러고 한두번 진단을 하고 나니 폰이 켜지기만 할 뿐 탈옥도 다시 안되고 그렇다고 다른 어플이 실행되는 것도 아닌 상태가 되었다. 그러다 Unc0ver가 iOS 13.5.5까지 탈옥이 가능하다는 소식에 순정상태로 되돌렸다가 재 탈옥을 시도했다! 결론적으로 탈옥은 실패했다. 실패 이유는 아래에…

내 블로그는 원래 Jekyll을 사용하고 있었고, Syntax Highlighting을 위해 rouge를 사용하고 있다. 기존에 사용하던 검은 바탕의 Syntax Highlighting이 답답하고 가독성이 떨어져 보여 바꾸고 싶어 찾던 중 생각보다 자료가 별로 없어 따로 정리 해 두게 되었다.

BurpSuite를 최신 버전으로 설치하는데 오류가 났다. Java 버전이 문제여서 Java 9 이상을 설치하니 해결할 수 있었다.

안드로이드 어플리케이션 취약점 진단을 할 때`Burp Suite를 주로 사용한다. 안드로이드 기기에서 Burp Suite를 사용하여 패킷을 잡아보는 방법은 다음과 같다.

Apache Tomcat에서는 Error를 유발했더니 서버 버전 정보가 노출되었다. Error 페이지에서 출력되는 버전 정보를 숨기는 방법은 아래와 같다.

웹 취약점 진단 항목 중에 서버 버전 및 정보의 노출을 확인하는 것이 있다. OWASP에서는 Fingerprint Web Server라고 명시하며, 노출 된 웹 서버의 버전이나 정보를 통해 공격자가 공격을 위한 힌트를 얻을 수 있기 때문에 노출을 자제하도록 권고한다.

AWS에는 S3(Simple Storage Service)라는 저장소가 존재한다. S3에서는 데이터를 저장하기 위한 기본 컨테이너를 bucket라고 부르는데, 이 bucket에 Referer를 통한 접근제어 정책을 설정 해 특정 도메인에서만 접근할 수 있도록 하는 방법을 정리한다.

많은 기업들에서 Secure Coding을 위해 정적 코드 분석 툴을 사용한다. SonarQube는 그 중 하나인데, 커뮤니티 버전이 있어 무료로 사용할 수 있기에 설치 해 테스트 해 보았다.