300x250 정보보안95 CSRF 취약점에 대한 간단한 설명과 그 예시 - CSRF Token, OWASP 10, Referrer CSRF 취약점의 정의 CSRF(Cross Site Request Forgery) 취약점이란 임의의 사용자 권한으로 임의의 주소에 HTTP 요청을 하는 취약점입니다. 정확히 얘기하면 HTTP 요청에 필요한 서명을 위조, 변조하는 공격이며 웹 서비스 이용자를 속여 의도치 않은 요청에 동의하도록 하는 공격입니다. 세부적인 예시로는 해커가 만든 웹 사이트를 정규 웹 사이트로 속여 접속을 유도하는 것도 CSRF 취약점에 해당한다고 볼 수 있습니다. 라는 명칭에 해당하는 모든 취약점이 해당합니다. CSRF 취약점의 위험도 2017년도 이전 OWASP Top 순위에는 CSRF도 10순위 내에 드는 취약점이었습니다. 2013년도 8순위의 위험도에 책정되어있습니다. 다만 17년도를 지나 가장 최근 발행된 OWASP 1.. 2022. 9. 3. MongoDB 3.7 버전 이상 db.collection.count() 메서드 사용불가 이슈 작업 날짜 : 2022-09-01 작업환경 : python 3.10.2 작업 라이브러리 버전 : 5.0.9 해당 이슈에 대한 내용은 MongoDB 3.7 버전 이상부터 db.collection.count() 함수가 사용 불가능한 이슈입니다. db.collection.count() — MongoDB Manual Docs Home → MongoDB Manual db.collection.count(query, options)mongosh MethodThis page documents a mongosh method. This is not the documentation for a language-specific driver such as Node.js.For MongoDB API drivers, refer to.. 2022. 9. 1. 이상한 변호사 우영우 속 나온 해킹기법 정리와 실제사례 그리고 방지책 안녕하세요 오늘은 ENA에서 절찬리에 종영한 드라마에서 나온 해킹 사건에 대해 간단히 알아보겠습니다. 작중 태수미의 아들 최상현이 온라인 쇼핑몰 ‘라온’을 해킹한 범인임을 직접 태수미에게 밝히는 내용이 나옵니다. 이 해킹사건으로 인해 라온은 ‘한바다’의 변호사를 고용했으며 라온의 고객들은 ‘태산’을 통해 개인 정보 유출 관련 공동 소송을 하게 됩니다. 실제 사례 작중에서 등장하는 가상의 온라인 쇼핑몰 기업 ‘라온’에서 발생한 개인 정보 유출 사건은 실제 한 기업에서 발생한 사례와 매우 유사합니다. 2016년 5월 주식회사 '인터파크'에서 사내 PC 전산망이 해킹되어 약 2540만명의 고객 개인정보가 유출된 사건이 있었습니다. 해당 사건을 법무법인 ‘예율’에서 개인정보가 유출된 2403 명을 대리해 인터파.. 2022. 8. 27. 파일 다운로드 취약점에서 자주 쓰이는 Path Traversal 취약점 정리 - filedownload, path traveral 파일 다운로드 취약점이란. 웹 서비스의 파일 시스템에 존재하는 파일을 다운로드하는 과정에서 발생하는 보안 취약점 공격자가 웹 서비스의 파일 시스템에 존재하는 임의 파일을 다운로드할 수 있다. 설정 파일, 암호 파일, DB 백업 파일 등 민감한 정보가 포함된 파일을 탈취하여 2차 공격의 수행 가능 파일 다운로드 취약점은 웹 해킹중 한 기법으로 해당 웹 서비스의 임의 파일을 다운로드 하는 취약점입니다. 만약 서비스의 설정 파일이나 DB파일이 탈취된다면 개인정보를 통한 2차적인 공격이 가능해집니다. 파일 다운로드 취약점이 발생하는 웹 서비스 형태 파일 다운로드 취약점이 발생하는 URL 패턴은 다음과 같습니다. 위 주소들은 전부 URL 내에서 파일에 대한 경로로 접근이 가능하다는 것입니다. 그렇기에../ 의 파.. 2022. 8. 25. 국방부 인트라넷 해킹사건에 대한 나몰라식 대응과 허술한 보안 - 정보보호 뉴스레터, 보안기사 안녕하세요 오늘은 국방부 인트라넷 체계에 발생한 해킹 사건에 대해 알아보겠습니다. 지난 2016년도 9월 악성코드가 군 인트라넷에 침투한 정황이 밝혀졌습니다. 그 후 조사가 이루어졌고 이는 내부 전용의 사이버망이 외부(북한 해커)의 해킹 시도에 의한 것으로 확인되었습니다. 해당 사건은 북한 측 해커가 내부 백신 중계서버를 완전히 해석해내어 백신의 PMS를 통해 인트라넷 PC들을 해킹한 것이었으며 해킹 피해로는 국방부 장관의 PC 또한 해킹당했고 또 2급 비밀 141건, 3급 비밀 84건, 군사대외비 103건, 훈련 기밀 1470건이 인터넷망을 통해 유출된 사실이 국군기무사령부를 통해 확인되었다고 합니다. 국가 안보를 위해 가장 완벽한 보안체계가 갖추어져야 할 국방부에서 발생한 해킹 사건이 정말 믿기지 않.. 2022. 8. 25. SQL문법 3종류 짧고 굵게 정리- DDL, DML, DCL SQL 이란. SQL(Structured Query Language) 구조절 질의 언어로 RDBMS(Relational DataBase Magagement System) 관계형 데이터 베이스에서 수많은 데이터를 처리 및 관리하기 위해 설계된 관리 목적의 프로그래밍 언어입니다. 쉽게 말해 특수 목적성을 띄는 언어인데 DB에서 수없이 많은 데이터를 일괄적으로 관리하기 위해 만들어졌다고 보면 됩니다. 현재 DB는 RDBMS(관계형 데이터베이스)와 NoSQL(Not Only SQL)의 두 가지 종류가 존재하며 기존 SQL 언어 기준 테이블간의 관계를 정립해야만 하는 RDBMS와는 달리 SQL만을 사용하지 않으며 각 DB별 다른 저장기술을 가진 게 NoSQL입니다. SQL의 문법 3종류 SQL 언어의 문법은 크게.. 2022. 8. 15. 드림핵 문제풀이 - Carve party // 웹 해킹 기초, JavaScript 문법기초, JavaScript 함수 난이도 : 하하 Dreamhack CTF Season 1 Round #2에 출제된 문제라고 합니다. 저는 드림핵에서 나오는 웹 해킹 로드맵을 쭉 따라가다가 에필로그에서 풀게 되었습니다. 문제 서버가 제공되지는 않고 문제 파일만 다운로드합니다. . html 파일 하나만 다운로드됩니다. 파일을 웹으로 열어보겠습니다. ?? 맨 아래를 보면 10,000번을 클릭해야 한다고 합니다. 클릭해봅시다. 30번가량 클릭하니 잭 오 랜턴 입이 보입니다. 정말 1만 번을 클릭해야 하나 봅니다. 처음엔 어떻게 풀어야 하나 머리가 안 돌아가더라고요 그래서 별 생쇼를 다했습니다. 먼저 jack-o-lantern.html 파일을 플라스크에 템플릿으로 넣고 웹 서버를 하나 돌린 후에 selenium으로 오토 클리커를 만들기도 했는데.. 2022. 8. 2. 개인 NAS 서버 보안 관련 주의사항, 이슈 개인 NAS 서버를 운용하다 보통 외부 접속을 위해 QuickConnect나 DDNS를 주로 사용할 겁니다. free DNS나 다른 도메인을 구입해 연결하는 경우도 있겠지만 시놀로지 자체적으로 제공하는 DNS를 사용하지 않을 이유가 없긴 합니다. 하지만 DDNS 특성상 URL을 잘 짜 맞춰보기만 하면 다른 사람의 NAS 도메인으로 이동하기 쉽습니다. 예시로 시놀로지에서 제공하는 synology.me 도메인은 DDNS 설정 시 가장 첫 번째에서 볼 수 있으며 제일 많은 사람들이 사용하는 기본 제공 도메인입니다. 자신이 조합한 문자와 함께 도메인을 넣어 호스트 네임을 정한다고 하지만 조금 쉽게 추측이 가능합니다. 예를 들어 자신의 서버이니까 자신의 이름을 넣지 않을까요? 뭐 많습니다 cheolsu.synol.. 2022. 7. 28. OS의 역할 컴퓨터를 시스템의 각종 하드웨어적인 자원과 소프트웨어적인 자원을 효율적으로 운영 관리함으로써 사용자가 시스템을 이용하는데 편리함을 제공하는 시스템 소프트웨어 사용자에게 편리를 제공하고 시스템의 생산성을 높여줌 응용 프로그램의 사용 편의성, 하드웨어의 성능 최적화 하드웨어&소프트웨어 관리하는 컴퓨터 시스템의 한 부분인 실행 관리자 라고 정의가능 2022. 6. 25. SK브로드밴드 와이파이 공유기 관리자 페이지 접속하는법 1. [작업표시줄] - [명령 프롬포트] Window10 기준 하단의 작업관리 줄의 돋보기 아이콘에 "cmd"를 검색합니다. cmd 혹은 명령 프롬프트 두 가지중 아무거나 검색하셔도 됩니다. 2. [명령 프롬포트] - "ipconfig" 입력 명령창에 [ipconfig]라는 명령어를 입력하시고 정상적인 인터넷 연결이 완료된 상태라면 위와 같은 화면으로 이더넷 정보가 출력됩니다. 그중 기본 게이트웨이에 해당하는 주소가 [sk 브로드밴드 공유기 관리자 페이지 접속 주소]가 됩니다. 3. URL - 관리자 페이지 주소 입력 후 접속 인터넷을 열어 [192.168.45.1]을 입력해주시면 됩니다. 해당 주소를 입력하여 접속하면 위와 같은 관리자 접속 페이지 화면이 출력됩니다. 초기 접속 계정은 아래와 같습니다... 2022. 6. 11. 이전 1 2 3 4 5 6 7 8 ··· 10 다음 300x250
