root 이외의 UID가 '0' 금지 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - root 계정과 동일한 UID가 존재하는지 점검하여 root 권한이 일반 사용자 계정이나 비인가자의 접근 위협에 안전하게 보호되고 있는지 확인하기 위함 ■ 보안 위협 - root 계정과 동일한 UID가 존재하여 비인가자에 노출되었을 경우 root 계정 권한과 동일한 권한으로 시스템에 로그인 하여 시스템 계정 정보 유출, 환경설정 파일 및 디렉토리 변조 및 삭제 등의 행위를 하여 시스템 가용성(서비스 다운, 악성코드 유포지 감염)에 영향을 미칠 수 있는 위협이 존재함 - root와 동일한 UID를 사용하므로 사용자 감사 추적 시 어려움이 발생함 점검 및 조치 방법 ■ 판단 기준 - 양호 : root 계정과 동일한 UID를..
HTML 을 사용하실 때 태그의 종류와 그 용도에 대해서 알아보겠습니다. HTML은 홈페이지, 사이트 뿐만 아니라 티스토리나 블로그스팟, 워드 프레스 등의 블로그 사이트에서도 많이 활용되고 있는 웹 코딩 언어라서 알아두시면 좋습니다. HTML은 다른 언어들에 비해 훨씬 직관적이고 상대적으로 쉽기 때문에 초보자분들도 쉽고 재밌게 배울 수 있습니다. 처음엔 어렵게 느껴지실 수 있으나 배우고자하면 빠르게 배울 수 있는 언어이므로 무서워하지마시고 도전하시길 바랍니다. HTML이란? HTML란 하이퍼텍스트 마크업 언어(HyperText Markup Language)라는 의미의 웹 페이지 작성을 위한 언어입니다. 웹 페이지 콘텐츠 안의 꺾쇠괄호에 둘러싸인 "태그"로 되어있는 HTML 요소 형태로 작성합니다. HTM..
티스토리 Yandex 웹마스터 등록하여 방문자 유입을 늘리는 방법을 알아보겠습니다. 얀덱스는 러시아의 프로그래머 일리야 세갈로비치가 설립한 검색엔진 사이트입니다. 러시아에서는 네이버와 같은 급의 포털사이트로 글로벌시장에서 우크라이나, 벨라루스, 카자흐스탄 등에서 서비스를 운영 중에 있는 큰 검색엔진 사이트 입니다. 이런 러시아의 큰 검색엔진에도 티스토리 블로그를 웹마스터에 등록하여 검색 사이트에 노출시킬 수 있는데 방법을 알려드리도록 하겠습니다. 먼저 얀덱스 웹마스터 사이트로 들어와서 가입을 해주셔야 합니다. 얀덱스에 가입할 때는 전화번호 없이 가입이 가능합니다. 하지만 번호를 기입하지 않으면 나중에 갑자기 해킹당했다고 경고 메시지가 나올 수 있으니 참고해서 가입하시면 됩니다. 현재 얀덱스의 매출은 연마..
일반사용자의 Sendmail 실행 방지 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 일반사용자의 q 옵션을 제한하여 Sendmail 설정 및 메일큐를 강제적으로 drop 시킬 수 없게 하여 비인가자에 의한 SMTP 서비스 오류 방지 ■ 보안 위협 - 일반 사용자가 q 옵션을 이용해서 메일큐, Sendmail 설정을 보거나 메일큐 를 강제적으로 drop 시킬 수 있어 악의적으로 SMTP 서버의 오류를 발생시 킬 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : SMTP 서비스 미사용 또는, 일반 사용자의 Sendmail 실행 방지가 설정된 경우 - 취약 : sMTP 서비스 사용 및 일반 사용자의 Sendmail 실행 방지가 설정되어 있지 않은 경우 ■ 조치 방법 - Sendmail 서비스를 사용하..
Spoofing 방지 필터링 적용 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 일반적으로 사용될 필요가 없는 Source IP로 설정된 패킷에 대한 ACL을 적용시켜 패킷을 필터함으로써 사용되지 않는 주소로 속여 공격하는 변조된 불법 패킷을 차단하기 위함 ■ 보안 위협 - 일반적으로 사용되지 않는 Source IP에 대한 ACL 적용을 하지 않은 경우, 공격자가 악의적인 목적으로 패킷을 조작하여 DoS 공격을 시도할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 악의적인 공격에 대비하여 Source IP에 ACL을 적용한 경우 - 취약 : 악의적인 공격에 대비하여 Source IP에 ACL을 적용하지 않은 경우 ■ 조치 방법 ㆍCISCO Router # show running IP spoof..
로그의 정기적 검토 및 보고 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부를 파악하기 위함 ■ 보안 위협 - 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움 점검 및 조치 방법 ■ 판단 기준 - 양호 : 접속기록 등의 보안로그, 응용 프로그램 및 시스템 로그 기록에 대한 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어지는 경우 - 취약 : 위 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어 지지 않는 경우 ■ 조치 방법 - ..
엑셀을 사용하시다 보면 내가 생각한 것과 다르게 결과가 나오는 경우가 있습니다. 엑셀 프로그램이 낯설고 어려워서 일지도 있겠지만 일부는 프로그램 상의 오류나 내가 알게 모르게 단축키가 눌려 버려서 그렇게 되는 경우가 있습니다. 이번 시간에는 엑셀에서 영어를 사용할 때 띄어쓰기가 이상하게 나오는 경우, 자간이 벌어져서 나오는 경우 해결 방법에 대해서 알아보겠습니다. 이번 띄어쓰기가 이상하게 되는 경우 간단하게 단축키로 해결할 수 있습니다. 띄어쓰기에 이상이 생기면 위 처럼 한글은 정상적으로 나오는 것을 보실 수 있는데 영어를 타이핑 해보시면 자간이 벌어져서 나오는 것을 보실 수 있습니다. 이 같은 경우 다음과 같이 해결하실 수 있습니다. 이 경우 " Alt + = " 를 눌러서 해결하실 수 있습니다. 일반..
불충분한 인가 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 접근 권한에 대한 검증 로직을 구현하여 다른 사용자가 민감한 정보나 인증이 필요한 페이지의 접근을 차단하기 위함 ■ 보안 위협 - 중요 정보 페이지 접근을 위한 인증 로직이 구현되지 않을 경우, 비인가 사용자의 페이지에 접근 및 중요 정보의 열 및 변조가 가능함 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 중요 정보 페이지 접근 시 추가 인증을 하는 경우 - 취약 : 중요 정보 페이지의 파라미터 변경으로 타인의 정보를 열람 및 수정이 가능한 경우 ■ 조치 방법 - 중요 정보 페이지의 추가 인증 로직 구현 ■ 점검 방법 Step 1) 비밀 게시글(또는 개인 정보 수정, 패스워드 변경 등) 페이지에서 다른 사용자와의 구분을 ID, 일련..
Anonymous FTP 금지 3EB8A8 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - FTP 익명 접속을 제한하여, 중요 정보의 불법 유출을 차단 하고자 함 ■ 보안 위협 - FTP 익명 접속이 허용된 경우 핵심 기밀 자료나 내부 정보의 불법 유출 가능성이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : FTP 서비스를 사용하지 않거나, "익명 연결 허용" 이 체크되지 않은 경우 - 취약 : FTP 서비스를 사용하거나, "익명 연결 허용" 이 체크되어 있는 경우 ■ 조치 방법 - FTP 서비스를 사용하지 않는 경우 서비스 중지, 사용할 경우 "익명 연결 허용" 체크를 해제 ● Windows NT(IIS4.0), 2000(IIS 5.0), 2003(IIS 6.0) Step 1) 인터넷 정보 서비..
세션 예측 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 사용자의 세션ID를 추측 불가능하도록 난수로 생성하여 공격자의 불법적인 접근을 차단하기 위함 ■ 보안 위협 - 사용자에게 전달하는 세션ID가 일정한 패턴을 가지고 있는 경우 공격자가 세션 ID를 추측하여 불법적인 접근을 시도할 수 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 추측 불가능한 세션 ID가 발급되는 경우 - 취약 : 세션 ID가 일정한 패턴으로 발급되어 있는 경우 ■ 조치 방법 - 추측 불가능한 세션 ID가 발급되도록 로직을 구현 ■ 점검 방법 Step 1) 각각 다른 IP 주소와 다른 사용자명, 시간적 차이로 세션 ID를 발급받음 Step 2) 발급받은 세션 ID에 일정한 패턴이 있는지 조사 Step 3) 일정한 패턴..
크로스 사이트 리퀘스트 변조 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 사용자 입력 값에 대한 적절한 필터링 및 인증에 대한 유효성을 검증하여 신뢰(인증) 정보 내의 요청(Request)에 대한 변조 방지 ■ 보안 위협 - 사용자의 신뢰(인증) 정보 내에서 사용자의 요청(Request)을 변조함으로써 해당 사용자의 권한으로 악의적인 공격을 수행할 수 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 사용자 입력 값에 대한 검증 및 필터링이 이루어지는 경우 - 취약 : 사용자 입력 값에 대한 필터링이 이루어지지 않으며, HTML 코드(또는 스크립트)를 입력하여 실행되는 경우 ■ 조치 방법 - 사용자 입력 값에 대해 검증 로직 및 필터링 추가 적용 ■ 점검 방법 Step 1) XSS 취약점이..
취약한 패스워드 복구 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 패스워드 복구 로직을 유추하기 어렵게 구현하고, 인증된 사용자 메일이나 SMS에서만 복구 패스워드를 확인할 수 있도록 하여 비인가자를 통한 사용자 패스워드 획득 및 변경을 방지하기 위함 ■ 보안 위협 - 취약한 패스워드 복구 로직(패스워드 찾기 등)으로 인해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경할 가능성이 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 패스워드 재설정 시 난수를 이용하여 재설정하고 인증된 사용자 메일이나 SMS로 재설정된 패스워드 전송 시 - 취약 : 패스워드 재설정 시 일정 패턴으로 재설정되고 웹 사이트 화면에 바로 출력될 시 ■ 조치 방법 - 패스워드 복구 로직을 변경하고 인증된 사..
