목록보안 (6)

나의 잡다한 노트 및 메모

Let's Encrypt로 공인 CA 인증서 만들어 SSL/TLS 설정

Jenkins가 https 통신을 할 수 있도록 앞단에 리버스 프록시(nginx)를 달아놓으려고 한다.이때, 인증서를 만들 때, Let's Encrypt로 만드려고 한다.  Let's Encrypt는 certbot 이라는 것을 설치해야한다.공인 CA 인증서로 활용이 가능해서 프로덕션용으로도 쓸 수 있다고 한다. openssl을 활용해 인증서를 만드는 것은 self-signed 인증서로 내부 네트워크에서만 쓰거나 테스트 용으로 쓰는 것이 좋다. 프로덕션용으로는 좋지 않다고 한다.  먼저, 웹 서버에 연결할 도메인이 있어야 한다. 해당 도메인의 A 레코드가 서버의 공인 IP로 올바르게설정돼 있어야 한다. certbot을 설치하고, 인증서를 발급받아야한다. 인증서 발급 ( standalone 모드 )여기서 s..
보안 2024. 12. 17. 22:03
정보보호 정책

정보 보호 정책- 기본방침 : 정보 보호 대책에 대한 기본적인 고려사항- 대응 기준 : 기본 방침을 지키기 위해 준수해야 할 행위, 판단 등의 기준- 대응 절차 : 정보 시스템과 업무에서 실천할 수 있는 구체적인 절차 보호 정책을 만들 때 참고하면 도움이 될 수 있다.법령 현황 : kisa정보 보호 정책 관련 안내서 : kisa 정보 보호/매니지먼트보안 요구 파악 : 보호해야 할 정보 자산을 파악한 후 각각의 정보 자산에 요구되는 보안을 검토하기. 취약점 파악 : 보호해야 할 정보 자산과 정보 시스템에 존재하는 취약점을 나열한다.보안 취약점 도출과 평가 : 보안 요구와 취약점으로부터 도출된 보안 위협을 목록화하고 평가한다. 보안 정책 결정 : 취약점에 대응하기 위한 보안 정책을 결정한다.보안 대응 시행 ..
보안 2024. 9. 25. 17:17
CORS(Cross-Origin Resource Sharing)

CORS는 웹 페이지가 다른 도메인의 리소스에 접근할 수 있도록 하는 보안 메커니즘입니다. 기본적으로 웹브라우저는 같은 출처 정책(Same-Origin Policy)을 적용합니다. 이 정책은 한 출처에서 로드된 문서 또는 스크립트가 다른 출처의 리소스와 상호작용하는 것을 제한합니다. 여기서 출처는 도메인, 프로토콜, 포트를 포함합니다. ### CORS가 필요한 이유 Same-Origin policy는 보안을 위해 중요합니다. 예를 들어, 이 정책이 없다면 악의적인 웹사이트가 사용자가 로그인한 다른 사이트의 데이터를 읽을 수 있게 됩니다. 하지만, 현대의 웹 애플리케이션은 종종 여러 출처의 리소스를 통합해야하는 경우가 많습니다. 예를 들어, 다른 도메인의 API에서 데이터를 가져오거나, CDN에서 스크립트..
보안 2023. 11. 30. 16:10
아파치 웹 서버 기초적인 보안 설정

# 심볼릭 링크 기능 비활성화 이 기능이 활성화돼있으면 웹 문서 경로 이외의 경로에 접근할 수 있다. /etc/apache2/apache2.conf 파일의 /var/www/ 안에 있는 Options Indexes FollowSymLinks에서 FollowSymLinks를 삭제해야한다. (리눅스 운영체제임) vi로 열었을 때 esc 키를 눌러 전환한 상태에서 /Indexes 를 엔터누르면 쉽게 해당 내용을 찾을 수 있다. 그렇게 하면 링크 기능 비활성화가 됐다. # 디렉터리 리스팅 비활성화 /etc/apache2/apache2.conf 파일의 Options Indexes를 None으로 수정한다. 여기서 None은 옵션이 없다는 의미이다. 이렇게 하면 서버 안에 있는 파일들이 노출되지 않는 것을 확인할 수 ..
보안 2023. 9. 3. 17:16
웹 애플리케이션 취약점을 통한 해킹

웹 서버의 취약점보단 웹 애플리케이션의 취약점에서 웹 해킹 사고가 발생하는 경우가 가장 많다. 대표적인 것을 써본다. # SQL 인젝션 공격 대표적인 취약점으로, 웹 애플리케이션이 데이터베이스와 연동하여 SQL을 질의하는 과정에서 이뤄진다. 이를 이용해 주로 인증 과정을 우회하여 원하는 계정에 접근하거나 특정 명령어를 실행시킬 수 있다. ID에 admin, password에 1234를 넣으면 질의문은 다음과 같다 select id, pw, name, level from member WHERE id = 'admin' and pw='1234' 그런데, password에 ' or ''=' 를 넣고 하면 성공한다. 왜 그럴까? 바로 false AND false OR true 라는 논리연산이 돼서 최종적으로 tr..
보안 2023. 9. 3. 16:24
[보안] 웹 서버 취약점을 통한 해킹

# 디렉토리 리스팅 웹 서버에서 접속자가 디렉터리 구조나 파일명을 쉽게 파악하고 다운로드할 수 있게 하는 것이 목적이다. 이 때문에 취약점이라 보기 어렵다는 의견도 있으나, 공격자가 공격 대상인 웹 서버의 구조를 파악하여 정보를 수집할 수 있으므로 디렉터리 리스팅 설정을 활성화하는 것을 권장하지 않는다. 디렉터리 리스팅은 웹 서버를 기본으로 설치하고 별도의 보안 조치 없이 운영할 때 흔히 발생하며 공격자가 직접 임의의 위치에 접근하는 경우에 민감한 정보가 유출되는 문제가 발생할 수 있다. # 웹 서버 버전의 노출 공격자는 웹 서버의 버전을 확인하고 취약하다고 판단하면 취약한 웹 서버 버전의 익스플로이트를 활용하여 공격할 수 있다. 우분투는 오류 페이지에 웹 서버의 정보가 기본적으로 노출된다.
보안 2023. 9. 3. 00:07
이전 Prev 1 Next 다음