취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 데이터, 로그, 응용프로그램에 대한 감사 기록 정책을 수립하고 적용하여 데이터베이스에 문제 발생 시 원활하게 대응하고자 함 ■ 보안 위협 - 감사기록 정책이 설정되어 있지 않을 경우, 데이터베이스에 문제 발생 시 원인을 규명할 수 있는 자료가 존재하지 않아 이에 대한 대체 및 개선방안 수립이 어려움 점검 및 조치 방법 ■ 판단 기준 양호: DBMS의 감사 로그 저장 정책이 수립되어 있으며, 정책이 적용되어있는 경우 취약: DBMS에 대한 감사 로그 저장을 하지 않거나, 정책이 수립되어있지 않은 경우 ■ 조치 방법 DBMS에 대한 감사 로그 저장 정책 수립, 적용 ■ Oracle 데이터베이스 감사 기록 정책 및 백업 정책 수립 ■ MSSQL 데이터베이스 감사..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 정책에 따른 최신 보안패치 및 벤더 권고사항을 적용하여 데이터베이스의 보안성을 향상시키고자 함 ■ 보안 위협 - 데이터베이스의 주요 보안 패치 등을 설치하지 않은 경우, 공격자가 알려진 취약점을 이용하여 데이터베이스에 접근 가능함 점검 및 조치 방법 ■ 판단 기준 - 양호: 버전별 최신 패치를 적용한 경우 - 취약: 버전별 최신 패치를 적용하지 않은 경우 ■ 조치 방법 데이터베이스에 대한 버전을 확인 후 업그레이드 및 패치 적용 ■ Oracle ORACLE_HOME에 설치된 Oracle 제품 컴포넌트를 조회하거나, 적용된 임시 패치를 조회할 때는 lsinventory 명령어를 사용함 • Oracle 제공 패치 명령을 이용하여 확인함 $opatchlsinve..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - OS_RULES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES의 설정을 점검하여 비인가자들의 데이터베이스 접근을 막고 데이터베이스 관리자에 의한 사용자 Role 설정이 가능하게 하기 위함 ■ 보안 위협 - OS_ROLES가 TRUE로 설정된 경우, 데이터베이스 접근 제어로 컨트롤되지 않는 OS 그룹에 의해 grant된 퍼미션이 허락됨 - REMOTE_OS_ROLES가 TRUE로 설정된 경우, 원격 상요자가 OS의 다른 사용자로 속여 데이터베이스에 접근할 수 있음 - REMOTE_OS_AUTHENT가 TRUE로 설정된 경우, 신뢰하는 원격 호스트에서 인증 절차 없이 데이터베이스에 접속할 수 있음 점검 및 조치 방법 ■ 판단 기준..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 응용프로그램 또는 DBA 계정의 Role을 점검하여 일반계정으로 응용프로그램 테이블이나 DBA 테이블의 접근을 차단하기 위함 ■ 보안 위협 - 응용프로그램 또는 DBA 계정의 Role이 Public으로 설정되어 있으면, 일반 계정에서도 응용프로그램 테이블 및 DBA 테이블로 접근할 수 있어 주요 정보 유출이 발생할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호: DBA 계정의 Role이 Public으로 설정되어있지 않은 경우 - 취약: DBA 계정의 Role이 Public으로 설정되어있는 경우 ■ 조치 방법 DBA 계정의 Role 설정에서 Public 그룹 권한 취소 ■ Oracle 1. DBA Role 설정 확인(SQL*Plus) SQL> Selec..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - Listener의 Owner는 DBA가 아니더라도 Listener를 shutdown 시키거나 DB서버에 임의의 파일을 생성할 수 있으며, 원격에서 LSNRCTL 유틸리티를 사용하여 listener.ora 파일에 대한 변경이 가능하므로 Listener에 패스워드를 설정하여 비인가자가 이를 수정하지 못하도록 하기 위함 ■ 보안 위협 - Listener에 패스워드가 설정되지 않은 경우 DoS, 정보 획득, Listener 프로세서를 중지시킬 수 있는 위험이 있으므로 반드시 Listener 패스워드 설정 필요 점검 및 조치 방법 ■ 판단 기준 - 양호: Listener의 패스워드가 설정되어 있는 경우 - 취약: Listener의 패스워드가 설정되어 있지 않은 경우..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 시스템 테이블의 일반 사용자 계정 접근 제한 설정 적용 여부를 점검하여 일반 사용자 계정 유출 시 발생할 수 있는 비인가자의 시스템 테이블 접근 위험을 차단하기 위함 ■ 보안 위협 - 시스템 테이블의 일반 사용자 계정 접근 제한 설정이 되어 있지 않을 경우 객체, 사용자, 테이블 및 뷰, 작업 내역 등의 시스템 테이블에 저장된 정보가 누출될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호: DBA만 접근 가능한 테이블에 일반 사용자 접근이 불가능 할 경우 - 취약: DBA만 접근 가능한 테이블에 일반 사용자 접근이 가능한 경우 ■ 조치 방법 DBA만 접근 가능한 테이블(System Table)의 접근 권한 변경 ■ Oracle 1. DBA만 접근 가능한..
취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 지정된 IP주소 만 DB 서버에 접근 가능하도록 설정되어 있는지 점검하여 비인가자의 DB 서버 접근을 원천적으로 차단하고자 함 ■ 보안 위협 - DB 서버 접속 시 IP주소 제한이 적용되지 않은 경우 비인가자가 내•외부망 위치에 상관없이 DB 서버에 접근할 수 있는 위험이 존재함 점검 및 조치 방법 허용된 IP 및 포트에 대한 접근 통제 적용 ■ OS 특정 IP에서만 접속 가능하도록 방화벽 등이 설정되어 있는지 확인 시작> 제어판> 보안 센터> windows 방화벽 설정 • 예외 tab -> 포트추가 -> 1433 -> TCP 추가 -> 범위 변경 • 예외 tab -> 포트추가 -> 135 -> TCP 추가 -> 범위 변경 • 예외 tab -> 포트추가 -..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 관리자 권한이 필요한 계정과 그룹에만 관리자 권한을 부여하였는지 점검하여 관리자 권한의 남용을 방지하여 계정 유출로 인한 비인가자의 DB 접근 가능성을 최소화 하고자 함 ■ 보안 위협 - 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하지 않을 경우 관리자 권한이 부여된 계정이 비인가자에게 유출될 경우 DB에 접근할 수 있는 위험이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호: 계정별 관리자권한이 차등 부여 되어 있는 경우 - 취약: 일반 사용자 계정에 불필요하게 관리자 권한이 부여되어 있는 경우 ■ 조치 방법 ■ Oracle 1. SYSDBA 권한 점검 SQL> SELECT USERNAME FROM V$PWFILE_USERS WHERE U..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 패스워드 사용기간 및 복잡도 설정 유무를 점검하여 비인가자의 패스워드 추측 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비가 되어 있는지 확인하기 위함 ■ 보안 위협 - 패스워드 사용기간 및 복잡도 설정이 되어 있지 않을 경우 비인가자가 패스워드 추측 공격을 통해 획득한 계정의 패스워드를 이용하여 DB에 접근할 수 있는 위험이 존재함. 점검 및 조치 방법 ■ 판단 기준 - 양호: 패스워드를 주기적으로 변경하고, 패스워드 정책이 적용되어 있는 경우 - 취약: 패스워드를 주기적으로 변경하지 않거나, 패스워드 정책이 없는 경우 ■ 조치 방법 - 주기적 패스워드 변경, 패스워드 적용 정책 마련 ■ Oracle 1.패스워드 정책 상태 점검 SQL> SEL..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 불필요한 계정 존재 유무를 점검하여 불필요한 계정 정보(패스워드)의 유출 시 발생할 수 있는 비인가자의 DB 접근에 대비되어 있는지 확인하기 위함 ■ 보안 위협 - DB 관리나 운용에 상요하지 않는 불필요한 계정이 존재할 경우 비인가자가 불필요한 계정을 이용하여 DB에 접근하여 데이터를 열람, 삭제, 수정할 위험이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호: 패스워드를 주기적으로 변경하고, 패스워드 정책이 적용되어 있는 경우 - 취약: 패스워드를 주기적으로 변경하지 않거나, 패스워드 정책이 없는 경우 ■ 조치 방법 ○ Oracle 1. 불필요한 Demonstration 계정 및 오브젝트 삭제 SQL> DROP USER ‘삭제할 계정' 2. 계정 잠금..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경 사용 유무를 점검하여 비인가자의 디폴트 패스워드 대입 공격을 차단하고 있는지 확인하기 위함 ■ 보안 위협 - Oracle : 데이터베이스의 기본 계정(system, scott 등)의 패스워드 또는, 접근제어 정책을 변경하지 않고 사용할 경우 공격자는 알려진 정보를 이용하여 데이터베이스에 쉽게 접근할 수 있는 취약점이 존재함. - MSSQL : sa 계정 null 암호 취약점은 비인가자에 의해 sa 계정으로 데이터베이스에 침입하여 정보 삭제, 변경 등의 행위를 할 수 있는 위험이 있음. - MySQL : root 계정의 패스워드가 디폴트 설정 값인 null을 사용할 경우, 시스템에 접근한 임의의 모든 ..
* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.
