기록이 힘이다.

웹 서버는 크게 2가지 이유로 해서 보안에 취약하다. 첫 번째는 웹 서버를 구동하기 위해서는 운영체제를 사용해야 하는데 운영체제의 취약점은 곧 웹 서버의 취약점이 된다. 두 번째는 가장 안전한 보안은 모든 것을 막아버리는 것인데 웹 서버의 경우 항상 포트를 열고 외부에 노출되어야 한다. 이러한 공개 노출로 인해 웹 서버는 보안에 취약할 수 밖에 없다.

1. 패스워드 가장 널리 사용되는 기본적인 사용자 인증 방식 (아이디 - 1중 보안, 아이디/패스워드 - 2중 보안) 2. 안전한 패스워드 만들기 3. 나만의 방식으로 안전하게 패스워드 관리하기 1. 패스워드 변형  ROT5, ROT13, ROT18, ROT47 방식의 인코딩/디코딩 선택 가능  ROT18은 모든 문자, 숫자를 치환할 수 있고, ROT47은 모든 ASCII 치환 가능 2. 패스워드 보관 파일의 암호화  액셀 파일에서 보안을 강화하려면 패스워드가 입력된 시트의 이름 부분에서 마우스 오른쪽 버튼을 누르고 [숨기기(H)] 선택 3. 외부 저장장치와 컴퓨터 하드디스크에 이중 보관  패스워드와 파일을 안전하게 보관해 놓으면 파일이 유출되더라도 패스워드까지 노출되는 위험을 줄일 수 있음(패스..

Black Box Testing 방식 - 소스코드를 보지 않고 웹 애플리케이션의 외부 인터페이스나 구조를 분석하여 취약점을 발견하는 것이다. -인터페이스 간의 상관관계를 분석하여 취약점이 발생하는 부분 식별이 가능하다. White Box Testing 방식 -개발된 소스코드를 살펴봄으로써 코딩의 취약점을 찾는 것이다. -내부 소스코드를 볼 수 있기 때문에 보안 취약점의 존재 유무를 좀 더 확실히 알 수 있으나 시간이 오래 소요된다. Gray Box Testing 방식 -Black Box Testing과 White Box Testing의 장점을 혼합한 것이다. -외부에서 보이는 취약점을 웹 애플리케니션 보안 진단을 통해 확인하고, 소스코드에서 접근통제, 입력값 검증, 세션 처리 문제 등을 같이 살펴보면서 ..

사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 영여: Cross-site request forgery, CSRF, XSRF)는 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말함(웹 브라우저) 유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나임 사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면(웹 서버), 사이트간 요청 위조는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것(웹 브라우저) 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상..

1.XSS 공격의 개요 간단하지만 파괴력 있음 ( 웹 애플리케이션 사용자를 공격하는 기법 중 최고) 2. 웹 어플리케이션이 사용자를 인증하는 방법 - 가장 먼저 아이디와 패스워드를 기반으로 사용자의 신원 확인 - 신원 확인 후 웹 애플리케이션이 사용자에게 고유한 값을 전달(쿠키) - 그 이후부터 사용자는 웹 애플리케이션으로부터 받은 고유한 값을 가지고 사이트 이용(쿠키) 사이트 간 스크립팅(또는 크로스 사이트 스크립팅, 영문 명칭 cross-site scripting, 영문 약어 XSS)은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점임(CSS) 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리..