웹 프로세스 권한 제거 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 웹 프로세스가 웹 서비스 운영에 필요한 최소한의 권한만을 갖도록 제한하여 웹사이트 방문자가 웹 서비스의 취약점을 이용햇 시스템에 대한 어떤 권한도 획득할 수 없도록 하기 위함 ■ 보안 위협 - 웹 프로세스 권한을 제한하지 않은 경우 웹사이트 방문자가 웹서비스의 취약점을 이용하여 시스템 권한을 획득할 수 있으며, 웹 취약점을 통해 접속 권한을 획득한 경우에는 관리자 권한을 획득하여 서버에 접속 후 정보의 변경, 훼손 및 유출 할 우려가 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 웹 프로세스가 웹 서비스 운영에 필요한 최소한 권한으로 설정되어 있는 경우 - 취약 : 웹 프로세스가 관리자 권한이 부여된 계정으로 구동되고 있는 경우..
아이패드로 악필 고치는 방법 글씨 이쁘게 잘쓰는법 아이패드로 공부를 하시거나 일을 하고 작업을 하실 때 사용하실 텐데요 그럴 때 애플팬슬을 이용해서 작업하시는 경우가 있으실 거예요 저는 악필이여서 제 글씨만 보면 한숨만 나온답니다 그래서 이 악필을 고치고자! 방법을 찾아 헤맸습니다 노타빌리티 같은 노트앱을 이용해서 이쁜 폰트를 따라 쓰는 연습을 하는 거예요 꼭 노트앱이 아니더라도 폰트를 불러올 수 있고 펜만 쓸 수 있으면 되지만 오늘은 노타빌리티를 이용해서 해보도록 하겠습니다 노타빌리티는 아래에서 다운 받으실 수 있습니다 Notability 강력하지만 놀랍도록 간단한 메모 및 PDF 주석 작성 앱, Notability에 오신 것을 환영합니다. Apple Editor’s Choice로 선정되고 전 세계..
DoS 공격에 취약한 서비스 비활성화 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 시스템 보안성을 높이기 위해 취약점이 많이 발표된 echo, discard, daytime, chargen, ntp, snmp 등 서비스를 중지함 ■ 보안 위협 - 해당 서비스가 활성화되어 있는 경우 시스템 정보 유출 및 DoS(서비스 거부 공격)의 대상이 될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 사용하지 않는 DoS 공격에 취약한 서비스가 비활성화 된 경우 - 취약 : 사용하지 않는 DoS 공격에 취약한 서비스가 활성화 된 경우 ■ 조치 방법 echo, discard, daytime, charge, ntp, dns, snmp 등 서비스 비활성화 설정 ■ 스크립트 echo "[ U-40 Dos 공격에 ..
구글 블로그 만드는 방법, blogger 만드는 법 거대 기업 구글에서 운영하는 블로그 서비스입니다 원래 명칭은 블로거이지만 url에 blogspot이 들어가기 때문에 많은 분들이 블로그스팟이라고 부르는데요 전세계를 타겟으로 하는 서비스이다보니 이용자가 가장 많은 블로그입니다 쿠팡 파트너스를 네이버블로그로 이용하시는 분들은 리다이렉션을 구글 블로그를 이용해서 하시는 분들이 많으셔서 관심을 가지게 되신 분들도 있을 거예요 아래의 링크에서 구글 블로그를 만드실 수 있습니다 Blogger.com - 독특하고 멋진 블로그를 만들어 보세요. 무료로 손쉽게 만들 수 있습니다. 내 관심사를 내 스타일대로 게시하세요. 공유하고 싶은 지식이나 경험, 최신 소식이 있으신가요? 독특하고 멋진 블로그를 무료로 손쉽게 만들 수..
VTY 접근(ACL) 설정 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 지정된 IP만 네트워크 장비에 접근하도록 설정되어 있는지 점검하여 비인가자의 터미널 접근을 원칙적으로 차단하는지 확인하기 위함 ■ 보안 위협 - 지정된 IP만 네트워크 장비에 접근하도록 설정되어 있지 않을 경우, 비인가자가 터미널 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)을 시도 하여 관리자 계정 패스워드 획득 후 네트워크 장비에 접근하여 장비 설정(기능, ACL정책) 변경 및 삭제 등의 행위를 통해 네트워크 장비를 경유하는 데이터의 유출 및 가용성 저하 등을 발생 시킬 수 있는 위험이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 원격 터미널(VTY) 접근 시 지정된 IP만 접근 하도록 설정이 되어 있는 경..
카카오톡에서 흔들어 코로나 QR체크인 하는 쉐이크 기능 활성화 하는 방법 안녕하세요 이제 자연스러운 풍경이 된 식당이나 카페 등 사람들이 몰리는 가게에 가시면 QR코드 체크인을 하게 되는데요 많은 사람들이 카카오나 네이버를 이용해서 체크인을 많이 하실 거예요 이번에 카카오톡에서는 흔들어서 QR체크인을 활성화 할 수 있는 아주 편리한 쉐이크 체크인 기능을 선보였는데요 어떻게 사용하는지 알아보도록 할게요 먼저 카카오톡을 들어오셔서 메뉴 제일 오른쪽에 . . . 표시인더보기로 들어가 주세요 지금은 공식적인 기능이 아니기 때문에 실험실에 기능이 있습니다 쉐이크 기능으로 들어가 주세요 여기서 중요한건 코드스캔이 아닌 QR체크인으로 활성화 해주셔야 해요 코드 스캔으로 하시게 되면 코드가 나오게 되는게 아닌 카메라로..
아이폰 아이패드 기본 브라우저 변경 방법 아이폰이나 아이패드에서 초기 설정은 URL 주소에 들어갈 때 애플의 기본 브라우저인 사파리로 연결됩니다 저는 크롬 브라우저를 많이 사용하고 있기 때문에 주소를 클릭 했을 때 크롬 브라우저로 연결하여 사용하고 있어요 주소를 클릭 했을 때 다른 브라우저로 연결되도록 기본 브라우저를 변경하는 방법에 대해서 알아보겠습니다 아이패드나 아이폰의 "설정" 앱으로 들어와 주세요 기본 설정에서 바꾸는게 아닌 브라우저 앱 설정에서 바꿔줘야 하는 부분이기 때문에 만약 기본 브라우저 변경을 지원하지 않는 브라우저는 사용하실 수 없습니다 크롬이나 파이어폭넹, 웨일 같은 범용적인 상용 브라우저에서는 지원되는 기능으로 보이네요 사파리 탭으로 오시면 애플에서 제공하는 기본 브라우저인 만큼 많..
SQL 인젝션 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 대화형 웹 사이트에 비정상적인 사용자 입력 값 허용을 차단하여 악의적인 데이터베이스 접근 및 조작을 방지하기 위함 ■ 보안 위협 - 해당 취약점이 존재하는 경우 비정상적인 SQL 쿼리로 DBMS 및 데이터를 열람하거나 조작 가능하므로 사용자의 입력 값에 대한 필터링을 구현하여야 함 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 임의의 SQL Query 입력에 대한 검증이 이루어지는 경우 - 취약 : 임의의 SQL Query 입력에 대한 검증이 이루어지지 않는 경우 ■ 조치 방법 - 소스 코드에 SQL Query 입력값을 받는 함수나 코드를 써야 할 경우, 임의의 SQL Query 입력에 대한 검증 로직을 구현하여 검증되지 않는 SQL..
아이폰, 아이패드, 맥북 등에서 미리알림 평일 반복 기능 사용하는 방법 안녕하세요 요즘 미리알림을 사용해서 출퇴근 시간이나 주식 시장 시작, 마감 등 알림 기능을 사용하는데요 대부분의 부분들이 이런 일들을 평일에 알림을 많이 사용하실 거예요 미리알림에서 보면 매일 알림 기능은 바로 보이는데 평일 알림 기능은 숨겨져 있는(?) 기능이라 소개해 드리려고 합니다 우선 미리 알림 어플로 들어와 주세요 저는 출퇴근 기록을 까먹을까봐 이런식으로 알림을 키고 사용하고 주식 시장 모니터링을 위해 장 시작시간을 알림으로 사용하고 있어요 우선 원하시는 알림을 만드시고 달력 모양을 누르시고 "날짜 및 시간" 으로 들어와 주세요 여기서 반복으로 사용하실 시간을 적어주세요 날짜는 오늘부터 사용하시려면 오늘로 해줍니다 그리고 "..
패스워드 확인함수의 설정 및 적용 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - PASSWORD_VERIFY_FUNCTION 값을 설정하여 기본적인 패스워드 정책을 적용하고 이를 통해 로그인에 대한 보안성을 강화하여 저장중인 데이터의 안전성을 높이고자 함 ■ 보안 위협 - PASSWORD_VERIFY_FUNCTION 값이 설정되어 있지 않을 경우. 비인가자가 각종 공격(무작위 대입공격, 사전 대입 공격 등)을 통해 취약한 패스워드가 설정된 사용자 계정의 패스워드를 획득하여 획득한 사용자 계정 권한을 통해 저장되어 있는 데이터의 유출, 수정, 삭제 등의 위험이 발생할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 패스워드 검증 함수로 검증이 진행되는 경우 - 취약 : 패스워드 검증 함수가 설정되..
아이폰과 아이패드 터미널 어플 추천 Terminus 아이패드, 아이폰으로 이용할 수 있는 터미널 어플을 추천해 드리겠습니다 보통 맥북이나 리눅스 Terminal을 접근하실 때 그냥 로컬에서 많이 접근하실 텐데요 윈도우도 터미널이 나왔죠😃 윈도우는 보통 putty를 많이들 쓰시죠 putty가 설치되어 있지 않아서다 저는 그냥 cmd나 terminal 에서 ssh 접속을 이용하는 경우도 많습니다 그게 더 빠르고 이뻐요🤔 저는 귀찮아서 누워서나 다른 곳에서 아이폰이나 아이패드로 터미널을 접근해서 작업을 한답니다 😚 이렇게 하면 장점이 뭐냐! 간단하게 생각나는 것들을 빠르게 docker나 vim을 이용해서 테스트 코딩을 해놓을 수 있습니다 사실 활용 범위는 사람에 따라 다양하니까 터미널로 작업을 넘길 수 있는 ..
IIS 불필요한 파일 제거 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디덱토리를 제거하지 않을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심허질 위험이 존재함 ■ 보안 위협 - IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위험이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하지 않는 경우 - 취약 : 해당 웹 사이트에 IISamples, IISHelp 가상 디렉토리가 존재하는 경우 ■ 조치 방법 - 사용하지 않는 경우 IIS 서비스 중지, 사용할 ..