볼통통 알파카의 사회생활

경로조작 및 자원삽입 공격 설명 외부 입력값을 통해 파일 및 서버 등 시스템 자원에 대한 접근 또는 식별을 허용할 경우, 입력 값 조작을 통해 시스템이 보호하는 자원에 임의로 접근할 수 있는 보안취약점. 공격자는 게시글 혹은 데이터의 수정, 삭제, 정보노출, 시스템 장애 등을 유발 할 수 있음. 즉, 공격자가 허용되지 않은 권한을 취득하여 설정에 관계된 파일을 변경하거나 실행시킬 수 있는 공격 경로조작 시큐어코딩 예시 필터링 적용 예(Django프레임워크) def get_info(request): # 외부 입력 값으로 받은 파일 이름은 검증하여 사용한다 request_file = request.POST.get('request_file') filename, file_ext = os.path.splitext..

XSS(Cross Site Scripting) 공격 특징 공격자가 상대방의 브라우저에서 스크립트가 실행되도록 만드는 방식이다. 사용자의 세션을 가로채기, 웹사이트 변조, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것 주로 스크립트 코드를 삽입해서 입력이 되면 위와 같은 공격이 진행된다. XSS 공격 대상 사이트를 방문하는 무차별적인 사람을 대상으로 공격한다. 즉, 게시판에 글을 올리면 클릭하는 사람을 대상이 피해자가 된다. 사용자가 XSS를 예방하는 방법 홈페이지 시스템에서 게시글 올려보기 예) 안녕하세요 테스트합니다. 이렇게 스크립트에서 경고창 띄우는 함수 사용하여 글을 올림 내가 올린 게시판을 클릭하여 경고창이 뜨면 해당 사이트 사용 금지 언제까지? 조치될 때까지 사용하지 말아야 한다. CSR..

코드 삽입 공격 알기 공격자가 소프트웨어의 의도된 동작을 변경하도록 임의 코드를 삽입하여 소프트웨어가 비정상적으로 동작하도록 하는 보안 약점을 말한다 코드 삽입은 프로그래밍 언어 자체의 기능에 한해 이뤄진다는 점에서 운영체제 명령어 삽입과 다르다. 코드 삽입 공격 원리 취약한 프로그램에서 사용자의 입력 값에 코드가 포함되는 것을 허용할 경우 공격자는 개발자가 의도하지 않은 코드를 , 실행하여 권한을 탈취하거나 인증 우회 시스템 명령어 실행 등을 할 수 있다. 파이썬 출력 함수 사용 주의 eval() string 값을 넣으면 해당 값을 그대로 실행하여 결과를 출력해 준다. 안전하지 않은 코드 예 # . 외부로 입력받은 값을 검증 없이 사용하면 안전하지 않다 message = request.POST.get(..

SQL 인젝션 알고 가기 공격자가 글 쓰는 폼이나 URL에서 입력에 SQL문을 삽입해 DB에 직접 정보를 열람하거나 데이터를 조작하는 공격 SQL 인젝션 공격 원리 웹과 DB가 서로 통신하는 부분에 공격자가 임의의 SQL문을 삽입함 예) 로그인할 때 파라미터 값을 where = '1' or '1'과 같은 모든 값이 참으로 바뀌게 하여 로그인 우회 파이썬에서 SQL 인젝션 예방 외부에서 들어오는 입력 값을 매개변수로 받아 저장하고 매개변수 값을 실행 함수에서 바인딩하여 변수로 호출함. 시큐어 코딩이 적용되지 않은 소스 with dbconn.cursor() as curs: # name, id값을 입력받음 name = request.POST.get('name', '') id = request.POST.get(..

집이나 회사에서 무선인터넷(와이파이)을 이용하는데 갑자기 느려진다면 먼저 진단을 하고 조치방법을 적용해야 한다. 먼저 진단은 와이파이 기계가 문제인지, 인터넷 서비스가 느려진 것인지 확인하는 것이다. 가장 최근 KT망 마비사태를 생각하면서 서비스 문제도 이제는 배제하면 안 된다. 와이파이 속도 진단 방법 일단 속도 측정부터 진행해야 한다. 와이파이가 잘 잡혀 있는 상태로 가정하고 속도 측정을 한다. 기업에서 제공하는 서비스와 기관/사설에서 제공하는 서비스로 둘 다 측정해서 비교해야 한다. 기관/사설에서 하는 방법 1. 한국정보화진흥원(NIA) (http://speed.nia.or.kr/index.asp) 접속, 측정을 위해 프로그램의 다운로드 필요 2. 사설 인터넷 속도 측정 사이트(http://fast..

오랜만에 노트북 또는 PC를 켰을 때 비밀번호를 까먹어 사용하지 못한 경우가 있을 것이다. 혹은 회사 PC비밀번호를 바꿨는데 기억이 안 나는 경우 이 방법을 사용해 보는 걸 추천한다. 설치 CD 또는 USB를 통해 백도어 만들기 우선 윈도우10 설치 지원하는 USB나 CD가 필요하다. 1. BIOS로 진입 하기.(F2, F10 혹은 delete 키) 부팅 때 보이는 키를 입력하면 됨 2. CMOS에서 부팅 순서 바꾸기 USB 혹은 CD를 1번 순위로 바꿈 3. 윈도우 10 설치 초기 메뉴 진입 4. 쉬프트 + F10 누르기 5. CMD 창에 diskpart 입력 6. list volume 입력 7. 윈도우 OS 설치된 디스크 확인 8. os 설치 디스크 확인 후 exit로 설정하는 창으로 빠져나옴 9. ..

최소 보안을 위해 차단해야 할 포트리스트 및 포트정리 붉은색 음영은 KISA에서 포트 보안을 권장하는 취약점이 식별된 포트입니다. 서버별 특성에 따라 accept, deny 하는 것은 유동적으로 판단하여 진행하면 되겠습니다. 80 /tcp, udp : http (웹서비스) 포트(WEB서비스를 하는 경우 오픈이 필요함) 443 /tcp : HTTPS (HTTPS over SSL 암호화 전송)(WEB서비스를 하는 경우 오픈이 필요함) 20 /tcp: FTP 데이터 전송 포트 21 /tcp : FTP 인증(제어) 포트 22 /tcp : SSH 포트 23 /tcp : 텔넷 포트 25 /tcp : SMTP 이메일 전송 포트 53 /tcp, udp : DNS 포트 69 /udp : TFTP 포트 88 /tcp : ..

한컴을 사용하다가 업데이트를 했는데 갑자기 아래처럼 경고 메시지가 나오는 경우가 있습니다. 이렇게 최신 버전이 설치되어 있다고 했는데 한글 파일만 열면 경고 메시지가 나올 때 이럴 때 빠른 방법과 느린 방법 2가지로 해결방법을 알려드립니다. 빠른 방법: 한컴 홈페이지에 가서 패치 파일을 다운로드 1. 한컴 홈페이지 접속(https://www.hancom.com/cs_center/csDownload.do) 2. 고객지원 탭에서 다운로드 클릭 3. 한컴오피스 또는 필요한 제품의 패치 파일 다운로드 클릭 4. 패치 후 재부팅 느리지만 확실한 방법 : 완전 삭제 후 재설치 위 방법대로 패치를 했는데 동일한 현상이 계속 반복되면 삭제 후 재설치를 하는 방법을 추천합니다. 가장 확실한 방법이지만 업무에 지장이 없을..

바이오스(BIOS)를 확인하는 이유는 무엇일까요? 윈도우에서 바이오스를 확인하는 이유는 대부분 PC 업그레이드 후 문제 파악과 취약점 조치를 하기 위해서입니다. PC 업그레이드를 하는데 비프음(삐! 또는 삐삐! 또는 삐~~) 이런 소리를 내고 컴퓨터가 켜지지 않는 경우가 있습니다. 이를 해결하려면 원인을 파악해야 하는데 바이오스 별로 소리가 다르고 의미가 다 다르기 때문에 바이오스(BIOS)를 확인하는 것이 중요합니다. BIOS 별 비프음과 해결방법에 대한 글입니다. 참고하세요~ https://blackrose.tistory.com/56 컴퓨터 업그레이드, 삐소리(비프음) 후 안켜지는 현상 해결 방법 비프음을 듣게되는 경우 조립을 하고 난 후 문제되어 듣는 경우가 많습니다. 대부분 업그레이드를 그래픽카드..

비프음을 듣게되는 경우 조립을 하고 난 후 문제되어 듣는 경우가 많습니다. 대부분 업그레이드를 그래픽카드, 메모리, CPU, 저장장치를 바꾸다 듣는 경우가 많습니다. 그럴 때는 우선 교체한 제품이 잘 꽂혀있는지 보고, 지우개 등으로 칩의 먼지를 제거하는 방법을 사용해서 다시 조립합니다. 약 90%는 이 방법이면 다 해결이 됩니다. 만일 해결이 안될 경우 삐소리 즉, 비프음을 통해 오류를 식별하여 조치하는 방법이 되겠습니다. 대표적으로 BIOS는 순서대로 3가지를 사용하고 있으며, 비프음도 조금씩 다릅니다. 참고로 제 PC는 아수스(AORUS) 입니다. 비주류인 INSYDE 바이오스를 사용하고 있으나 비프음 별 조치사항은 비슷합니다. 아메리칸메가트렌드(아미 바이오스) UEFI로 바뀌면서 대표적으로 사용되는..