볼통통 알파카의 사회생활

윈도우 엣지를 사용하면 첫 화면이 Bing이라는 화면으로 뜨면서 다양한 뉴스가 나타난다. 개인적으로 이 화면이 많은 정보를 수집하는데 좋아서 사용하고 있지만 구글(goole)과 같이 빈 화면이 나왔으면 할 때도 있다. 이 때 새 탭을 클릭하면 원하는 페이지가 나타나게 설정하는 방법을 소개하려고 한다. 옛날 익스플로러는 설정하는 기능이 있는데 엣지는 구글과 같이 확장도구를 사용해야 한다. 사용법은 간단하다. 확장도구 설정하는 방법 1.오른쪽 상단 확장버튼(직소퍼즐 모양) 클릭 - 없으면 ... 이 모양을 클릭해서 확장 클릭 2. 하단 부분에 '새로운 확장 찾기'에서 Microsoft Edge 용 확장 가져오기 클릭 3. 모든 추가 기능 검색 부분에서 custom new tab 검색 4. custom new..

과거에는 비밀번호를 입력하면 그대로 값을 DB에 반영했었는데 현재는 복잡도와 길이를 검증하여 승인 처리를 해야 한다. 패턴은 아래와 같다. 2가지 이상(문자, 숫자, 특수문자) 8자리 이상 검사 PT1 = ('^(?=.*[A-Z])(?=.*[a-z])[A-Za-z\d!@#$%^&*]{8,}$') PT2 = ('^(?=.*[A-Z])(?=.*\d)[A-Za-z\d!@#$%^&*]{8,}$') PT3 = ('^(?=.*[A-Z])(?=.*[!@#$%^&*])[A-Za-z\d!@#$%^&*]{8,}$') PT4 = ('^(?=.*[a-z])(?=.*\d)[A-Za-z\d!@#$%^&*]{8,}$') PT5 = ('^(?=.*[a-z])(?=.*[!@#$%^&*])[A-Za-z\d!@#$%^&*]{8,}$') ..

티스토리를 하게 되면 구글 애드센스 광고를 게시하게 되고 광고수입이 생기기 시작한다. 한 달을 기준으로 수입이 결제창에 반영이 되고, 지급기준액인 100$가 되어야 설정된 통장으로 지급이 된다. 완전하게 인증받기 위해서는 해당 주소지 입력을 하게 되는데 요기로 우편물이 온다. 우편물을 수령하면 입력하라고 하는 핀번호가 나오게 되는데 이를 입력하게 되면 인증절차는 모두 끝나게 된다. * 참고로 수익 총합이 10$가 되면 수익지급할 PIN번호를 자동으로 우편을 통해 보내준다. 정리하자면 1. 티스토리 애드센스 광고연결 2. 애드센스 결제정보 입력 3. 본인확인 단계 진행 4. 입력된 거주지 주소로 우편물 발행 5. 수령한 우편물에 출력된 애드센스 핀번호 입력 그림으로 보면 이해하기 쉽다. 네이버 블로그, 티..

중요 자원에 대한 잘못된 권한 설정 공격 응용프로그램이 중요한 보안 관련 자원에 대하여 읽기 또는 수정하기 권한을 의도하지 않게 허가할 경우, 권한을 갖지 않은 사용자가 해당 자원을 사용하게 된다. Python의 os.fchmod, os.chmod 등의 함수를 사용하여 파일 생성 및 읽기 모드에서 권한을 설정할 수 있다. 그럴 경우 중요자원에 대한 권한을 획득할 수 있게 된다. 안전한 코딩 방법 설정 파일, 실행파일, 라이브러리 등은 SW 관리자에 의해서만 읽고 쓰기가 가능하도록 설정하고, 설정 파일과 같이 중요한 자원을 사용하는 경우 허가받지 않은 사용자가 중요한 자원에 접근하지 못하게 검사 예시 def write_file(): # 소유자 외에는 아무런 권한을 주지 않음 os.chmod('/root/s..

로그인 인증 절차 로그인의 인증절차를 제대로 구현하지 않을 경우 다른 사람이 기능을 이용할 때 정보 탈취가 일어날 수 있다. 로그인을 하더라도 모든 페이지에서 동일한 권한의 서비스를 제공하는 것 대신 데이터를 열람할 때 다른 인증방식으로 다시 인증하는 방법을 적용해 강화하면 데이터 누출에 대한 보안 문제를 일부 해소할 수 있다. 파이썬 비밀번호(암호) 변경 기능 구현 중요사항 1. 외부 접근 시 보안검사를 우회하여 서버에 접근하지 못하게 설계 2. 중요한 정보가 있는 페이지는 재 인증 적용 3. 안전하다고 검증된 라이브러리나 프레임 워크를 사용 안전한 비밀번호 변경 구현 코드 예시 # login 된 사용자만 접근하도록 처리 @login_required def change_password(request):..

포맷 스트링 삽입 공격 설명 외부에서 입력한 값을 검증하지 않고, 입출력 함수의 포맷 문자열 그대로 사용하는 경우 발생. 파이썬에 있는 포맷 문자열 함수를 이용하여 취약 프로세스를 공격하여 권한 취득하여 임의로 코드를 실행하는 공격 기법 ​ 파이썬 포맷 스트링 삽입 공격 방식 {main.__init__.__globals__[AUTHENTICATE_KEY]} 와 같은 문자열을 입력하여 내부 정보를 유출 유도 공격 예방 코드 예 AUTHENTICATE_KEY = 'Passw0rd' def make_user_message(request): user_info = get_user_info(request.POST.get('user_id', '')) # 사용자가 입력한 문자열을 포맷 문자열로 사용하지 않아 안전함 m..

크로스 사이트 요청 위조(CSRF) 이해 사용자가 인지하지 못한 상황에서 공격자가 의도한 행위(수정, 삭제, 등록 등)를 요청하게 하는 공격 공격 대상은 XSS와 다르게 서버를 대상으로 공격 시도 프레임별 옵션 설정하는 방법 Django에서 CSRF 옵션 세팅 MIDDLEWARE = [ 'django.contrib.sessions.middleware.SessionMiddleware', # MIDDLEWARE csrf . 목록에서 항목을 활성화 한다 'django.middleware.csrf.CsrfViewMiddleware', ...... ] settings.py에서 미들웨어 부분에 csrf 부분을 활성화해준다. 이후 스크립트에서 csrf 토큰을 명시해 준다. html에서 토큰 입력 부분 - form 태..

피싱 공격이란? 일반적으로 사용자에서 전달한 URL 주소로 연결하기 때문에 안전하다 생각할 수 있지만 해당 폼의 요청을 변조하여 피싱사이트로 접속하게 만든다. 피싱공격 방법 1. 공격자가 웹서버에 URL 주소 변조 값을 전달한다. 2. 변조된 URL 반환 값(피싱사이트)로 연결된다. 3. 일반 사용자가 웹서버에 올라간 URL을 클릭할 때 피싱사이트로 연결된다. 피싱 공격 시큐어 코딩 예시 : 화이트리스트 만들어 관리 ALLOW_URL_LIST = [ '127.0.0.1', '192.168.0.1', 'https://login.service.com', ...... '/notice' ] def redirect_url(request): url_string = request.POST.get('url', '') ..

가끔씩 한글문서를 만들 때 보고서나 공문을 메일로 전달할 때 수정하지 못하게 만들어야 하는 경우가 있다. 보통은 pdf로 저장하는 방법을 사용하지만 한글 문서에서도 수정되지 않고, 출력 횟수도 제한해서 보안 기능을 높이는 방법이 있다. 이 방법은 주로 정부나 공공기관에서 발행하는 문서에서 적용되는 방법이다. 한글문서 수정 못하게 하는 방법은 정말 간단하다. 1. 보안 탭 클릭 2. 배포용 문서로 저장 클릭 3. 암호 입력(5자리 이상) 4. 저장할 제목과 위치 선택 5. 저장 위 방법은 neo버전 이상일 때 적용방법이다.​ 2002 버전 이상부터 보안문서를 불러올 수 있으니 업무 할 때 참고하면 좋겠다. 순서대로 따라 하기 어렵다면 아래 이미지 순으로 따라 해 보길 바란다. ​이렇게 하면 배포용 문서로 ..

파일 업로드 공격이란? 서버 측에서 실행될 수 있는 스크립트(asp, jsp, php, sh 등)파일 등 이 업로드 가능하면, 이 파일을 통해 공격자가 웹서버에서 직접 접근 기반을 마련하는 공격 기법이다. 파일 업로드 공격 방법 1. 공격자가 실행 가능한 파일을 서버에 업로드한다. 2. 파이썬에서 문자열 형식으로 표현된 형식을 인수로 받는다. 3. 인수를 반환하는 eval이나 인수로 받은 문자열을 실행하는 exec 함수를 같이 사용해 여러 변수들을 실행시킨다. 이는 웹 쉘 공격에 취약하게 만드는 방법이다. 파일 업로드 시큐어 코딩 예시 ​ # 업로드 하는 파일에 대한 개수, 크기, 확장자 제한하는 설정 FILE_COUNT_LIMIT = 5 # 업로드 하는 파일의 최대 사이즈 제한 (5MB - 5*1024..