본문 바로가기
반응형

IT/해킹보안37

웹의 취약점 보안 국제웹보안표준기구 OWASP(The Open Application Sercurity Project)에서는 해마다 웹 관련 상위 10개의 주요 취약점을 발표하고 있다. 10가지 취약점은 매년 순위와 항목이 바뀌기는 하지만, 대동소이하다.SQL Injection, XSS, CSFR, 취약한 인증 및 세션 관리,URL 접근 제한 실패, 인증 시 비암호화 채널 사용 등 여러가지가 있다. 이러한 웹의 취약점 보안을 위하여 최소한의 보안은 어떠한 것이 있는지 포스팅 한다. 1. 특수문자 필터링 웹 취약점은 다양하지만 대부분 몇 가지 보완을 통해 막을 수 있다. 가장 대표적인 것이 특수문자 필터링이다. 웹 해킹의 가장 기본적인 형태 중 하나가 인수 조작인데 인수 조작은 예외적인 실행을 유발하기 위해 일반적으로 특수문.. 2013. 9. 8.
HTTP Response 결과 코드(값) HTTP Response HTTP Response는 클라이언트의 HTTP Request에 대한 응답 패킷이다. 서버에서 쓰이고 있는 프로토콜 버전, Request에 대한 실행 결과 코드 및 간략한 실행 결과 설명문(OK등)에 대한 내용이 담겨 있다. 전달할 데이터의 형식과 데이터 길이 등과 같은 추가 정보가 MIME형식으로 표현되어 있는데, 헤더 정보 뒤에는 실제 데이터(HTML 이나 그림 파일)가 전달되며 데이터 전달이 끝나면 서버는 연결을 끊는다. HTTP Response의 주요 실행 결과 코드를 살펴보자. HTTP Response 주용 실행 결과 코드 실행 결과 코드 내용 설명 100번대 정보 전송 http/1.0까지는 계열에 대한 어떤 정의도 이루어지지 않았기 때문에 실험적인 용도 이외에는 100.. 2013. 9. 8.
백트랙을 활용한 모의해킹 - (1) 백트랙을 활용한 모의 해킹 저자 조정원, 박병욱, 임종민, 이경철 지음 출판사 에이콘출판 | 2013-06-28 출간 카테고리 컴퓨터/IT 책소개 『백트랙을 활용한 모의 해킹』은 저자들이 컨설팅 업무를 하면서 ... 글쓴이 평점 현업실무자 및 보안프로젝트 멤버 4명이 공동으로 집필한 책이다.. 국내에서 모의해킹 관련된 분야를 이렇게 디테일하게 설명한 책이 있는지.. 생각이 들 정도로 훌륭한 도서이다. 이 책을 구매하여 한 사람의 독자, 그리고 현업 실무자로서 블로그에 포스팅을 하면서 정보를 나누고자 한다. (아래 내용부터는 책의 내용을 발췌한 것이기 때문에 그 저작권은 책의 저자 및 출판사에게 있음을 분명히 밝힙니다. 만약 문제가 있을 시 삭제 하겠습니다.) 1. 이 책의 목적? 간단하게 백트랙 이라는 .. 2013. 9. 2.
주요 정보통신 기반 시설 취약점 분석 평가 기준 행정안전부에서 2012년 '주요 정보통신 기반시설 취약점 분석 평가 기준' 상세 문서를 고시하였는데, 약 한달 일부 개정안이 고시되어 그 내용을 공유하고 한다. 이 문서에는 각 대역별 기술적 항목까지 포함되어 있다. 이는 컨설팅 업무에서 사용되는 진단 스크립트 항목들과 일치하는 게 대부분이기 때문에 이 분야에 취업을 준비하는 학생 및 현업관련분들에게도 매우 유용한 자료가 될 것이다. 또한, 정보보호관리체계(ISMS)인증을 준비하는 실무자분들도 참고하면 업무에 도움이 된다. 참고로, 시스템 진단 백트랙 지원 도구 : Lynis Lynis는 유닉스 기반의 시스템에서 (보안)정보를 테스트하고 수집하는 감사 도구이다. Lynis는 보안상 문제점을 찾기 위해 시스템과 사용 가능한 어플레케이션 혹은 소프트웨어를 검.. 2013. 9. 1.
OWASP 2010 TOP 10 OWASP(Oopen Web Application Security Project) A1 : Injection A2 : XSS A3 : 취약한 인증과 세션 A4 : 안전하지 않은 객체 참조 A5 : 크로스 사이트 요청 변조(CSRF) A6: 잘못된 보안 구성 A7 : 안전한지 암호 저장 A8 : URL 접근 제한 실패 A9 : 잘못된 정보전송 계층 보호 A10 : 검증되지 않은 리다이렉트와 포워드 2013. 4. 25.
구글 검색 대응 방안(how to avoid the google seraching robot) 이번 장에서는 구글의 고급연산자 검색에서 노출 위험이 있는 개인정보나 중요 페이지 노출 대응 방안을 설명하고자 한다. 구글은 단순한 검색 뿐만아니라, 고급 연산자 검색을 통하여 pdf,word. jpg 등의 확장자 검색은 물론이고 URL, Protocol 까지의 검색도 가능하다. ☞전산쟁이 소소한 블로그 자료 참조 이러한 검색 로봇으로부터 웹사이트 전부나 특정 부분 접근을 제한하는 방법에 아래 2가지 방법을 알아보자. 1. robots.txt 'robots.txt'는 'robots'txt 프로토콜' 이나 '로봇 제외 표준'이라고 부르는데, 웹 스파이더나 검색 로봇(웹 로봇)으로부터 웹 사이트 전부나 특정 부분 접근을 제한한다. HOW? 'robots'txt'가 효력을 가지려면 URL의 최상위 공간에 위치.. 2013. 4. 24.
반응형