Ho_use

Infra/CloudSecurity

• [AWS] flAWS Challenge - Level5

  Infra/CloudSecurity 2023. 7. 17. 10:34

  flAWS level5-d2891f604d2061b6977c2481b0c8333e.flaws.cloud 문제확인 => 해당 문제에서는 그저 HTTP proxy 역할만하는 EC2를 sample로 주고 사용법을 알려주고 있다. 실제로 proxy인지 테스트 해보았고 진짜 단순한 proxy였다(http를 사용하는 페이지인 me.go.kr로 시도해도 바로 Redirect 되어버리지면 역시나 proxy처럼 동작했다) => 뭔가 해결을 한뒤 http://level6-cc4c404a8a8b876167f5e70a7d8c9880.flaws.cloud/에 접근할 수 있어야하는데 접속해보니 Access Denied가 났고 내용을 보니 sub-directory를 알아야하거나 Credential 정보를 알아야 접근할 수 있을 것..

  Read More
• [AWS] flAWS Challenge - Level4

  Infra/CloudSecurity 2023. 7. 16. 21:50

  flAWS - Level 4 _____ _ ____ __ __ _____ | || | / || |__| |/ ___/ | __|| | | o || | | ( \_ | |_ | |___ | || | | |\__ | | _] | || _ || ` ' |/ \ | | | | || | | \ / \ | |__| |_____||__|__| \_/\_/ \___| flAWS - Level 4 Lesson learned People often leak AWS keys and then try to level4-1156739cfb264ced6de514971a4bef68.flaws.cloud 문제내용 => 문제는 간단하다. 다음 Level로 가기위해서는 4d0cf09b9b2d761a7d87be99d17507bce8b86f..

  Read More
• [AWS] flAWS Challenge - Level3

  Infra/CloudSecurity 2023. 7. 16. 20:41

  flAWS - Level 3 level3-9afd3927f195e10225021a578e6f78df.flaws.cloud 문제내용 => 이번 문제도 비슷하다고 한다. 하지만 역시나 꼬았다고하고 AWS Key를 찾으라고한다. 즉, Credential을 찾으라는 것 같다. => 음.. 이전에 찾았던 secret같은 파일은 없고 그나마 눈에 띄는 것은 .git 숨김 디렉터리이다. AWS에서 사용하는 Access key같은 경우 개발자들이 git이나 환경변수에 등록해두었다가 git의 경우 commit 되거나 환경변수의 경우 container image로 upload해서 유출되는경우가 있는데 그런점을 이용하는게 아닌가 싶었다. .git 파일 가져오기 aws s3 sync s3://level3-9afd3927f19..

  Read More
• [AWS] flAWS Challenge - Level2

  Infra/CloudSecurity 2023. 7. 16. 20:25

  flAWS - Level 2 level2-c8b217a33fcf1f839f6f1f73a00a9ae7.flaws.cloud 문제내용 => 약간 꼬아서 낸 것 말고는 이전 문제와 비슷하다고 하며 AWS 계정이 별도 필요하다고 한다. 때문에 자신의 AWS 계정을 미리 준비하자. URL 접근 http://level2-c8b217a33fcf1f839f6f1f73a00a9ae7.flaws.cloud.s3.amazonaws.com/ => aws cli로 접근하기전에 URL로 접근을 시도해보았더니 Access Denied가 나왔다. 1번문제의 flaws.cloud bucket의 경우 everyone으로 List가 가능하게 설정이 되어있어 누구나 접근이 가능했던 것으로 보인다. aws cli 사용을 위한 credenti..

  Read More
• [AWS] flAWS Challenge - Level1

  Infra/CloudSecurity 2023. 7. 16. 20:08

  이번에 포스팅해볼 주제는 flAWS Challenge이다. AWS관련 Wargame이라고 보면 될 것 같다. 참고로 해당 challenge는 친절하게 힌트를 4개정도 지원한다. 때문에 초보자라도 공부하면서 풀어볼 수 있다. 해당 Challenge를 진행하기 위해서는 aws-cli가 설치되어있어야한다. 이 밖에도 문제를 풀다보면 필요한게 조금씩 생기긴하는데 우선은 aws-cli와 자신의 aws credential만 있으면 된다.

  Read More
• [AWS] AWS Certified security - specialty 자격증 후기(2023.07.09)

  Infra/CloudSecurity 2023. 7. 11. 15:31

  최근 AWS Certified Security - Specialty 자격증을 취득했다. 가격은 무려 한화로 34만원!!300(USD) 기존에 취득했던 쿠버네티스 자격증들과 비슷한 가격대를 형성하고 있다. 2023년 07월 10일의 시험을 마지막으로 시험이 바뀐다는 공지가 올라와서 하루 전날인 2023년 07월 09일에 시험을 응시했고 합격했다! 시험이 끝나면 몇가지 설문조사를 진행 후, 바로 결과를 보여준다. 나의 경우 점수는 하루 뒤에 이메일로 보내주었고 합격여부는 시험이 끝나자마자 보여주었다. 시험문제는 총 65문항이며 750점 이상을 획득하면 된다. 시험장소가 올라온게 없어서 온라인으로 응시했다. 온라인으로 응시하는 경우 외국인 감독관분과 대화를 통해 몇가지 절차가 필요하다. 방구석을 다보여준다던지..

  Read More