본문 바로가기

전체 글

 (45)
BAS & Wazuh 1. Wazuh란?Wazuh는 엔드포인트와 서버에서 발생하는 보안 이벤트를 수집하고 분석하는 오픈소스 보안 모니터링 플랫폼이다.쉽게 말하면 여러 시스템에서 발생하는 로그를 모아서, 그 안에서 의심스러운 행위를 찾아 Alert로 보여주는 도구라고 볼 수 있다.Wazuh는 로그 분석, 파일 무결성 모니터링, 취약점 탐지, 보안 설정 점검, 위협 탐지 등 다양한 기능을 제공한다.특히 실습 환경에서는 Windows, Linux 같은 엔드포인트에 Agent를 설치하고, Agent가 수집한 로그를 Wazuh Server로 보내면 Server가 룰 기반으로 분석한 뒤 Alert를 생성하는 방식으로 이해하면 된다.Wazuh 공식 문서 기준으로 Wazuh 아키텍처는 Agent, Server, Indexer, Dashbo..
프론티어_CodeQL실습 그전에 프로젝트를 해보려다가 setup을 claude한테 시켰는데, 해당 claude가 제보할 issue가 있다며 나한테 준 보고서를 토대로 한번 CodeQL 실습을 진행해보려고 한다.https://github.com/pytorch/pytorch/issues/182277실제로 issue사항으로 올라갔다 ㅎㅎ. 해당 issue에서 잡아야할 포인트torch.cuda.memory.caching_allocator_alloc(2**63) ↓PyLong_AsSsize_t(size_o) 호출 ↓2**63은 PY_SSIZE_T_MAX를 넘음 ↓PyLong_AsSsize_t가 -1을 반환하고 OverflowError를 set ↓그런데 PyErr_Occurred() 확인 없이 다음 로직 진행 ↓..
프론티어_CodeQL. 1. CodeQL이란?https://codeql.github.com/CodeQL은 GitHub에서 제공하는 정적 애플리케이션 보안 테스트 도구이다.일반적인 정적 분석 도구가 미리 정의된 규칙을 기반으로 위험 패턴을 탐지하는 것과 달리, CodeQL은 소스코드를 데이터베이스로 변환한 뒤 사용자가 직접 질의를 작성하여 분석할 수 있다. CodeQL의 핵심 개념은 코드를 데이터처럼 질의한다는 것이다. 일반적으로 개발자는 소스코드를 파일 단위로 읽으면서 함수 호출 관계, 변수 흐름, 외부 입력값의 처리 과정을 수동으로 추적한다. 반면 CodeQL은 이러한 코드 구조를 데이터베이스 형태로 저장하고, QL 질의를 통해 특정 보안 패턴을 자동으로 탐색한다.예를 들어 다음과 같은 질문을 CodeQL 쿼리로 표현할 수 ..
프론티어_IDS/IPS에 대해서 IDS/IPS일단 IDS/IPS에 대해서 정리해야한다.처음에는 IDS랑 IPS가 둘 다 침입을 탐지하는 장비 아닌가? 라고 생각할 수 있는데, 둘은 비슷하면서도 차이가 꽤 크다.가장 간단하게 말하면IDS는 탐지하고 알려주는 시스템IPS는 탐지하고 막는 시스템 그럼 왜 IDS/IPS가 필요하지? 방화벽이 있으면 되는 거 아닌가? 라고 생각할 수 있다. 근데 방화벽은 기본적으로 IP, 포트, 프로토콜, 정책을 기준으로 트래픽을 허용하거나 차단한다. 예를 들어 80번 포트, 443번 포트는 웹 서비스를 위해 열어둬야 한다. 근데 공격자는 바로 그 허용된 통로를 통해 SQL Injection, RCE, WebShell 업로드, 취약점 공격 같은 걸 시도한다.즉 방화벽은 문을 열어줄지 말지를 보는 느낌이고, I..
프론티어_해외 컨퍼런스 영상 분석 그전에 공모전에서 엣지디바이스 기반 딥보이스 솔루션에 대한 아이디어를 냈었는데 아쉽게 떨어져서 그것과 관련있는 영상을 분석해보려고 한다.https://www.youtube.com/watch?v=JPCKg_3XLP8&t=31s연구의 배경현재 여러 은행에서는 음성 인증을 계정에 로그인하기 위한 인증 수단으로 많이들 사용을 하게 된다. 하지만 음성 복제를 통해 쉽게 인증을 대체할 수 있고, 은행을 속일 수 있따.또한 요즘에 나오는 피싱과 관련된 수법에서는 자녀가 도움을 요청하며 주변 지인들의 목소리들을 클로닝해서 당사자에게 전화를 한 후 익숙한 목소리로 다급하게 살려달라고, 돈을 주면 풀려난다고 이야기한다. 이러한 음성 클로닝 자체가 5분정도만 있으면 금방 시도할 수 있다고 한다.. 이러한 문제점들 때문에 ..
프론티어_논문 분석 정리본 논문 리뷰 핵심 요약논문 제목 및 학회명Prompt Injection Attack to Tool Selection in LLM Agents / NDSS 2026이 논문은 LLM Agent가 외부 tool을 선택하는 과정 자체가 prompt injection의 공격 표면이 될 수 있다는 점을 다룬다. 일반적인 LLM Agent는 사용자의 요청을 받은 뒤, 관련 tool document를 먼저 검색하고, 그중에서 LLM이 최종 tool을 선택한다. 즉 tool selection은 크게 retrieval 단계와 selection 단계로 나뉜다. ToolHijacker는 이 두 단계를 모두 공격하여, 사용자가 정상적인 요청을 했더라도 Agent가 정상 tool이 아니라 공격자가 만든 악성 tool을 선택하게 만..
프론티어_논문 읽기 논문 리뷰 핵심 요약논문 제목 및 학회명Prompt Injection Attack to Tool Selection in LLM Agents NDSS 20261. 이 논문이 다루는 것은 무엇인가? + 왜 이것을 선택했는지 간단하게일단 논문을 찾는 과정은 GPT, Gemini를 활용하여서 내가 원하는 AI와 관련된 논문 OR 요즈음 가장 많은 카테고리를 차지한 논문을 찾아달라고 하였고, 한 10편 정도의 논문이 나온 것 같다. 그 중 요즘 가장 인기가 많은 AI agent에 대한 공격에 관심이 많았고 해당 공격은 어떻게 진행되는지가 궁금했다. 그 중 Agent가 공격을 받긴 받는데, tool을 사용할 때, 간접 프롬프트 인젝션? 같은 느낌으로 공격을 받는다고 해서 특이하다고 생각해서 이 논문을 선택하게 되었..
프론티어_퍼징 사실 퍼징에 관련해서는 https://sanghole.tistory.com/13 에서 한 번 정리를 한 적이 있지만.퍼징 프로젝트를 하고 다시 한 번 정리를 하고 싶어 미션을 선택하게 되었다. Fuzzing.일단 퍼징이란? 퍼징은 프로그램에 정상/비정상/랜덤/변형된 입력을 대량으로~ 아주 많이~ 넣어보면서 버그를 "자동"으로 찾는 테스트 기법이다. 그러니까 딸-깍 해서 대충(대충 아님) 이거 입력 다 넣어! 해서 어 크래시가 터졌네? 개꿀~ 하는 느낌. 타겟을 예로 들면 이미지 파서, PDF 파서, 네트워크 서버, 커널 시스템 콜, REST API 등등. 진짜 여러 개가 가능하다. 또한 퍼징의 종류로도 아주 여러 개가 있다. 입력 생성 방식 기준. 일단 뭐 입력 생성 방식 기준으로는Mutation-b..

티스토리툴바