ac.zip
HashTab_v4.0.0_Setup.exe파일 다운로드 기능이 있는 프로그램을 사용할 때는 상위기관 가이드에 따라 다운로드 파일의 해시 처리를 해서
악의적인 파일 위변조로부터 회사의 프로그램을 보호해야 한다.
테스트할 때 관련 프로그램 등을 쉽게 못 찾아 여기에 남긴다.
1. 다운로드 파일의 관련 근거 규정
- 금융감독원 HTS 안정성 제고방안(2010.05)
리버싱 공격 등으로부터 HTS프로그램이 보호될 수 있도록 프로그램 개발시 분석이 어렵도록 프로그램을 개선하거나, 접속시마다 프로그램 변조여부를 자동 점검하도록 하는 등의 보안대책을 강구
2. 해시 테스트
1) 소스 파일 선택
2) 소스 파일과 동일한 타겟 파일 생성
- cmd 창에서
- fsutil file createnew "target_file_name" "파일_사이즈(byte)"
3) 타겟 파일의 날짜 속성 변경을 위한 프로그램 설치
- 첨부 파일의 ac.zip 을 풀고 설치
- 마우스 오른쪽 버튼 누르면 메뉴 생성
4) 타겟 파일 날짜 속성 변경
- 타켓 파일에서 마우스 오른쪽 버튼 눌러 "Change Attributes" 메뉴 실행
- 파일 다운로드 기능이 있는 프로그램에서 파일의 다운로드 결정은 통상 "파일 사이즈",
"파일 생성/수정 날짜" 체크 방식을 많이 이용
5) 소스 파일과 타겟 파일의 해시값 비교
- 소스 파일
- 타겟 파일
6) 타겟 파일을 다운로드 되는 폴더에 복사해놓고 접속. 타겟 파일이 소스 파일로 다시 다운로드
되는지 확인. 해시 비교를 하면 된다.
'My Security Study > Skill' 카테고리의 다른 글
| OpenSSL HeardBleed 취약점 정리 (1) | 2014.04.20 |
|---|---|
| TCPdump (0) | 2013.11.12 |
| TCP Connection (0) | 2013.11.11 |
| TCP Protocol (0) | 2013.11.11 |
| Form SQL Injection (0) | 2013.11.10 |
