방문해 주셔서 감사합니다! 항상 행복하세요! - 문의사항은 메일 또는 댓글로 언제든 연락주세요. - "해줘","답 내놔" 같은 질문은 답변드리지 않습니다. - 메일주소 : lts06069@naver.com 표준 취약점4 27. 데이터 평문전송(SN) 데이터 평문전송 취약점은 웹 어플리케이션 서버와 브라우저(클라이언트)간 통신 시 암호화 하여 전송을 하지 않아 중요 정보 등이 평문으로 전송되는 취약점입니다. 특히 개인 정보, 금융정보 같은 민감한 정보를 암호화하지 않고 평문으로 전송 처리하는 경우에 해커로부터 도청을 통해 정보를 쉽게 탈취 할 수 있기 때문에 중요정보는 반드시 평문으로 전송하지 말아야 겠습니다. #방법1 중요 정보에 대해서는 암호화, 복호화를 통해서 해당 정보를 알 수 없게 합니다. 암복호화의 대표적인 기능으로는 RSA 방식을 들 수 있으며, 단방향인 Sha 256 방식 또한 정보를 암호화하는 데 유용한 방법 입니다. 단방향인 Sha256 방식은 한번 암호화가 된 경우에는 해당 내용을 풀 수 없는 방식이므로 기능구현시 복호화가 필요한 .. 2021. 12. 10. 26. 위치공개(PL) 위치공개 취약점은 예측 가능한 폴더나 파일명을 사용하여 위치가 노출되어 해커가 이를 악용하여 대상에 대한 정보 및 데이터에 접근하는 취약점을 의미 합니다. 개발을 하면서 back, bak 형식의 파일을 만들거나 또는 zip형식의 파일을 배포하는 디렉토리에 그대로 올려 둔 경우에 이를 다운로드 받아서 정보를 가져가는 문제를 의미 합니다. #방법1 디렉토리 인덱싱(DI) 취약점이 먼저 조치가 되어야 합니다. 디렉토리 인덱싱은 해커의 요청으로 부터 요청된 주소 아래의 접근 가능한 파일목록을 볼 수 있는 취약점 입니다. * 조치방법 https://lts0606.tistory.com/542 8. 디렉토리 인덱싱(directory indexing) 디렉토리 인덱싱 취약점은 서버내의 모든 디렉터리 및 파일에 대해 인.. 2021. 12. 10. 25. 경로 추적(PT) 경로추척 취약점은 웹 어플리케이션 서버의 파일 또는 디렉토리에대한 접근이 제한적이지 않고 허용이 되어 있어 해커로부터 경로가 탈취되어 중요 정보획득 및 변조가 가능한 취약점을 의미 합니다. 웹주소에 아래처럼 특정 상대경로를 계속해서 입력 해 가면서 정보가 탈취할 수 있을때가지 해커가 입력이 가능하면 해당 취약점이 존재한다 볼 수 있습니다. #다운로드 기능이 있는 주소를 상대로 아래처럼 시도를 합니다. #1차 시도 http:127.0.0.1/../../../../../../../../../../../etc/passwd #2차 시도 http:127.0.0.1/../../../../../../../../../../etc/passwd #3차 시도 http:127.0.0.1/../../../../../../../.. 2021. 12. 10. 19. 자동화 공격(AU) 자동화 공격 취약점은 웹에 대한 정보변경 시도 횟수 제한을 설정하지 않고 방치하면, 웹사이트를 다운시키거나 무차별 대입 공격으로 인해 사용자 계정을 탈취할 수 있거나, 데이터를 등록할 수 있는 취약점 입니다. 해커가 게시판에서 게시글 등록을 하는 경우, 아무런 제한이 없는 것을 확인하면 자동화 도구를 통해서 데이터를 몇십 몇백만건을 계속해서 넣는 그러한 공격을 예로 들 수 있겠습니다. #방법1 자동화 공격을 시도하면 짧은 시간에 다량의 패킷이 전송되므로 감지하고 방어할 수 있는 IDS(침입 탐지 시스템) / IPS(침입 방지 시스템) 형식의 서비스를 사용하면 좋습니다. 구글, 네이버 및 AWS같은 클라우드 서비스 같은 경우에 이러한 기능이 대부분 잘 적용이 되어 있지만, 일반적으로 구축된 서버에서는 이러.. 2021. 12. 9. 이전 1 다음
