[AWS] SAP Study 정리: IAM

안녕하세요. 실더입니다.오늘 부터는 짬나는대로 AWS SAP 를 준비할 생각입니다. 참고로 저는 AWS SAA 도 없고, 사내에서도 Cloud 서비스를 사용하지 않습니다.그래서 일단은 맨땅에 해딩하는 느낌으로 준비하려 합니다. 기본적인 이론 공부는 Udemy의 강의를 듣고 대략적인 정보를 수집한 후,덤프를 달달 외울정로도 외운다면 빠르면 두달느리면 올해 전까진 가능하지 않을까 싶습니다. 포스팅은 최대한 간략한 정보의 요약과 함께 중간중간 업데이트가 가능하다면이론적인 부분을 정리하는 방식으로 진행할 예정입니다. IAM 예시: https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html IAM: Users, Groups, Rul..
Certificate/Cloud 2024. 7. 21. 18:00
CVE-2024-22476 Intel Neural Compressor 소프트웨어의 인증되지 않은 사용자의 권한 상승 취약점

오늘의 신규 취약점은Intel의 Neural Compressor에서 발견된권한 상승 취약점입니다.  Intel의 Neural Compressor 는 오픈소스 파이선 라이브러리로딥러닝 모델들을 압축하고 최적화 하는 데 주로 사용됩니다.  각종 인공지능 기반 임무를 수행할 때 매개변수들을 정리함으로서 메모리에 여유를 줘서 대형 모델을 쾌적하게 운영하는데 도움을 주는데 컴퓨팅 자원이 넉넉하지 못한 상황에서 효과적입니다. CVE제품/서비스명취약버전양호버전CVE-2024-22476Intel(R) Neural Compressor2.5.0 미만2.5.0 이상 사실 해당 취약점 이외에도 CVE-2024-21792도 참고할 만한 취약점이며[2]인공지능 생태계에서 점점 취약점이 늘고 있다는 점은 정보보안 담당자 입장에서는..
Information Security/CVE 2024. 6. 13. 17:00
서버 측 요청 변조

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목서버 사이드 요청 위조 (SSRF)대상모든 대상항목 설명o 사용자의 입력 값을 이용하여 서버가 요청을 보내거나 외부의 리소스를 이용할 때 발생하며 사용자가 접근 할 수 없는 영역에 무단 접근이나 데이터 엑세스가 발생 할 수 있습니다.점검 기준o 외부에서 접근 가능한 서버에서 전송하는 요청 메시지 파라미터(IP,URL 등)값을 변조하여, 공격자가 직접 접근할 수 없는 네트워크 대역(내부망 등)에 위치한 서버에서 변조된 요청 메시지에 대해 응답값이 반환되는지 여부를 점검점검 방법1. SSRF 파라미터 위변조1) WEB서버가 DB 등 타 서버로 요청하는데 이용되는 파라미터 확인2) 파라미터에 공격구문 삽입  A) ..
Information Security/Penetration Testing 2024. 6. 4. 17:00
1 2 3 4 5 6 7 8 ··· 16