ㅡ.ㅡ

사용 포트 Cadvisor(inbound) : 8888/TCP(Prometheus 접근 허용) docker-compose 설치 curl -L https://github.com/docker/compose/releases/download/1.21.0/docker-compose-`uname -s`-`uname -m` | sudo tee /usr/local/bin/docker-compose > /dev/null chmod +x /usr/local/bin/docker-compose ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose cadvisor 설치 시 에러 해결을 위한 링크 폴더 생성 mount -o remount,rw '/sys/fs/cgroup' l..

grafana Prometheus, Influxdb, Zabbix 등 다양한 메트릭 데이터를 시각화할수있는 시스템이다. Grafana_WEB(Inboud) : 3000/TCP 저장소 추가 sudo tee /etc/yum.repos.d/grafana.repo Add data source > Prometheus > 서버 정보(주소:포트) 입력 후 테스트 대시보드 추가 대시보드 검색 사이트에서 번호를 확인 후 Import하여 추가한 데이터 소스 지정

WMI_exporter 윈도우 노드의 리소스를 제공해주는 툴로 wmi_exporer 사이트에 접속하여 windows_exporter msi 파일을 다운로드 및 실행하면 아래와 같은 서비스가 등록된다. WMI_exporter(Inbound) : 9182/TCP (Prometheus 접근 허용) 설치 및 실행 정보 Prometheus 서버에 노드 익스포터 등록 sudo vi /etc/prometheus/prometheus.yml - job_name: 'win_exporter' static_configs: - targets: [':9182']

node_exporter 리눅스 노드의 리소스를 제공해주는 툴이다. node_exporter(Inbound) : 9100/TCP (Prometheus 접근 허용) 설치 wget https://github.com/prometheus/node_exporter/releases/download/v1.0.1/node_exporter-1.0.1.linux-amd64.tar.gz tar xvfz node_exporter-1.0.1.linux-amd64.tar.gz cd node_exporter-1.0.1.linux-amd64 mv node_exporter /usr/bin/ 서비스 등록 vi /usr/lib/systemd/system/node_exporter.service # -*- mode: conf -*- [Uni..

Prometheus란 웹 서버, DB, Network 장비 등 다양한 시스템의 시계열 데이터 형태(TSDB: Time Series Dabase)로 메트릭 정보를 저장하는 시스템이다. 구조 Prometheus Server는 다양한 Jobs/Exporter이 타겟시스템의 수집한 메트릭 정보를 HTTP Endpoint에 접근(풀링)하여 Storage에 메트릭을 저장하는 구조로 Grafana와 같은 시각화 시스템을 통해 프로메테우스 전용 쿼리(PromQL)를 활용하여 사용자의 스타일에 맞게 대시보드를 커스터마이징 할 수 있다. 또한 Exporter를 통한 풀링 방식에 적합하지 않는 타겟 시스템의 경우 Push gateway를 이용해 타겟 시스템이 Push gateway에 메트릭 정보를 push하면 Prometh..

Helm 복잡한 쿠버네티스의 리소스들을 패키징하여 간편하게 관리할 수 있도록 도와주는 도구로 하나의 커맨드로 클러스터 내에 리소스들을 설치 및 변경사항을 반영 할 수 있으며, 변경사항들은 리비전으로 관리할 수 있다. Helm 설치 curl https://raw.githubusercontent.com/helm/helm/master/scripts/get-helm-3 > get_helm.sh chmod 700 get_helm.sh sh helm.sh helm help Chart Repository 추가 및 업데이트 helm repo add stable https://kubernetes-charts.storage.googleapis.com/ helm repo update Chart 정보 확인 helm searc..

※ 데이터 평문 전송 웹 상의 데이터 통신은 대부분 텍스트 기반으로 이루어지기 때문에 로그인 또는 실명인증과 같은 민감한 데이터(개인 식별번호, 계정정보 등)가 평문으로 송수신 될 경우 공격자가 도청(스니핑)을 다른 사용자의 민감한 데이터를 획득 할 수 있는 취약점이다. ※ 실습 로그인 페이지에서 ID와 PW를 입력 후 로그인하는 과정의 패킷을 캡처해서 확인한 결과 암호화 되지않은 HTTP프로토콜을 사용해서 평문으로 데이터가 전송 되는 것을 볼 수 있다. 피들러 패킷 캡처 도구를 통해 로그인 페이지에서 doLogin페이지로 데이터를 평문으로 전송 후 검증하여 /bank/main 페이지로 이동하는 로그인 과정을 확인할 수 있다. ▼ 와이어 샤크 패킷 캡처 도구를 통해 로그인 페이지에서 doLogin페이지로..

※ XSS 사용자의 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우, 공격자가 입력이 가능한 폼(URL 파라미터 값 또는 게시판 등)에 악의적인 스크립트를 삽입하여 사용자의 세션/쿠키 탈취, 악성코드 유포지/피싱사이트로 이동시키는 취약점으로 주로 여러 사용자가 보게 되는 게시판에 악성 스크립트가 담긴 글을 올리는 형태나 스크립트가 삽입된 URL 클릭을 유도하여 스크립트를 실행하게 한다. ※ 실습 검색 폼에 222를 입력 후 GO버튼을 클릭한 모습으로 222에 대한 결과가 없다는것을 볼 수 있다. 해당 입력 폼에 XSS를 출력하는 알람창을 띄우는 스크립트를 삽입 후 실행한 결과 스크립트가 실행된것을 볼 수 있다. ▼ ▼ ※ 대응방안 사용자가 입력한 문자열에서〈, 〉, &, ", ", (, )등을 ht..

불 필요한 Method지원 일반적으로 사용하는 HTTP의 메소드 중 GET, POST 메소드 이외의 웹 서버 내에 컨텐츠를 생성하는 PUT, 컨텐츠를 삭제하는 DELETE, 관리 및 디버깅에 사용되는 TRACE 등의 불필요한 메소드를 허용하는 취약점이다. ※ 실습 웹 프록시 도구를 사용해서 demo.testfire.net 사이트의 HTTP METHOD를 점검한 결과 GET, POST외에 다양한 메소드가 허용된것을 확인할 수 있다. ▼ ※ 대응 방안 아파치 - httpd.conf(제한할 메소드 정의) 톰캣 - web.xml Order allow,deny Allow from all /* HEAD DELETE PUT OPTIONS