본문 바로가기
반응형

전체 글265

[OWASP 2017] A3 민감한 데이터 노출 1. 개요 ​전송 구긴 및 브라우저 등에서 키를 훔치고, 중간자 공격으로 인해 민감한 데이터가 노출될 수 있다. 민감한 데이터를 암호화하지 않고, 취약한 키 생성 및 관리, 약한 알고리즘, 프로토콜, 암호 사용, 취약한 암호 해싱 저장등으로 발생할 수 있다. ​ 2. 영향 민감한 개인 정보가 노출될 수 있음. EU의 GDPR 같은 개인보호법이나 PCI DSS 같은 금융 데이터 보호 규정에 해당된다면 특별히 보호해야 한다. ​ 3. 취약점 확인 1) HTTP, SMTP, FTP, 내부 트래픽 등에서 평문으로 데이터 전송하는가? 2) 백업 시 평문으로 처리하는 민감 데이터가 있나? 3) 취약한 암호 알고리즘을 적용하고 있는가? 4) 디폴트 암호 키 사용 및 약한 암호 키를 생성 및 재사용하거나 적절한 키 관.. 2023. 1. 26.
[OWASP 2017] A2 취약한 인증 1. 개요 자격 증명 자료, 기본 관리 계정 목록, 무자별 대입 및 사전 공격 툴, 고급 GPU 크래킹 툴로 암호 조합에 접근할 수 있다. 만료되지 않은 세션 토큰도 문제! ​ 2. 영향 시스템 손상, 사기, 기밀 정보 유출 ​ 3. 취약점 확인 기본 암호, 약한 암호 가 허용되는지 확인 효과가 없는 자격증명 복구나 비밀번호 복구 허용 평문, 암호화되거나 취약한 해쉬 비밀번호 사용 다중 인증이 없거나 비효율적 세션 ID가 URL에 노출 로그아웃, 비활성 기간 중 사용자 세션 및 인증 토큰이 무효화 되지 않음 ​ 4. 시나리오 1) 알려진 암호 목록을 사용한 계정 정보 삽입이 일반적 2) 유일한 인증 요소가 암호인 경우 발생 3) 세션에 대한 적절한 만료 시간이 정해지지 않은 것.​ ​ 5. 보안 대책 1.. 2023. 1. 25.
[OWASP 2017] A1 인젝션 1. 개요 매우 일반적이며, 과거의 코드에서 나타난다. SQL, LDAP, XPath, NoSQL 쿼리, 운영체제 명령어, XML 파서, SMTP 헤더, 표현식 언어, ORM 쿼리등. ​ 2. 영향 데이터 손실, 파괴, 정보 누출, 정보 공개, 서비스 거부의 등의 결과 ​ 3. 취약점 확인 소스코드를 리뷰하고, 모든 파라미터, 헤더, URL, 쿠키, JSON, SOAP, XML 데이터 입력에 대한 자동화 테스트 ​ 4. 시나리오 String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'"; Query HQLQuery = session.createQuery("FROM accounts WHERE custID=.. 2023. 1. 25.
CSA(Cloud Service Alliance) 클라우드 보안 위협 1. 데이터 유출 2. 불충분한 ID, 자격 증명 및 액세스 관리 3. 안전하지 않은 인터페이스와 API 4. 시스템 취약점 5. 계정 도용 6. 악의적인 내부자 7. APT 공격 8. 데이터 손실 9. 불충분한 실사 10. 클라우드 서비스 남용과 악의적인 사용 11. DoS 12. 공유 기술 취약점 13. 스펙트라와 멜트다운 2023. 1. 25.
Escape From The City https://youtu.be/7tAQroCDgfc 소닉 어드벤처 2에 삽입된 곡 중 가장 마음에 드는 곡이다. 실제 곡을 부른 가수는 테드 폴리(Ted Poley)와 토니 하넬(Tony Harnell)이라고 한다. 위 영상은 브라질 게임 쇼(2019)에서 Dave Vives 가 불렀다고 되어있다. 열정적인 라이브로 노래를 부르는 모습이 좋아 보여 이 영상을 연결해 본다. 2023. 1. 24.
실천적 데이터 모델링 데이터 모델링에 대해 공부한 지도 오래되었고, 초심을 가져보고자 도서관에서 빌려왔다. 매우 오래전에 출판된 책이다. 2005년에 영진닷컴에서 출판했다. 그러나 데이터 모델링에 대한 기본 개념은 크게 바뀌지 않았을 거라 생각하고 읽는 중이다. 목차는 아래 링크에서 확인할 수 있다. http://www.yes24.com/Product/Goods/1772970 실천적 데이터 모델링 입문 - YES24 데이터 모델링 입문자부터 실무 경험자까지 모두 만족시킬수 있도록 기초편과 실전편 2부로 나누어 구성했다. 데이터 모델링의 정의와 문법과 모델링 순서 등 기본 개념부터 가상 인터넷 서점 www.yes24.com 입문서답게 차근차근 개념이 설명되어 있다. 한번 쭈욱 읽어보고 데이터에 대해서도 생각해 보려고 한다. 실.. 2023. 1. 24.
728x90

티스토리툴바