볼통통 알파카의 사회생활

한글 문서를 다운로드하면 PDF도 아닌데 수정이 안 되는 파일이 있다. 주로 공공기관, 국가기관에서 발행하는 정보전달용 문서가 이 방법을 적용하여 배포하여 그렇다. 한글문서 보안 저장 방법은 순서대로 진행하면 된다. 1. 보안 탭 클릭 2. 배포용 문서로 저장 클릭 3. 암호 임력(5자리 이상) 4. 저장 제목과 위치 선택 5. 저장 완료 순서대로 하면 쉽게 보안 저장이 되어 파일을 보낼 때 원본을 지킬 수 있는 최소한의 장치를 해둘 수 있다. 순서대로 하기 어렵다면 아래 이미지를 보고 따라 하면 이해하기 쉽다. 내가 만든 배포용 문서를 수정하고 싶다면 배포용 문서 변경/해제를 누르면 된다. 순서는 1. 보안 탭 클릭 2. 배포용 문서 암호 변경/해제 버튼 클릭 3. 설정한 암호 입력, 해제 클릭 해제하..

로그인 화면을 만들 때 파이썬으로 구성할 경우 DB로 제한 거는 방법을 소개하려고 한다. 로그인 횟수 제한 거는 이유 로그인 시도할 때 횟수 제한을 걸지 않으면 무차별 대입(brute forece) 공격에 취약해진다. 여기에 대비하기 위해 로그인 인증 횟수를 설정해 계정을 잠그거나 추가 인증 방식을 적용하는 등 2차 인증을 설정하는 방법을 추천한다. 로그인 횟수 제한 코드 예시 import hashlib from django.shortcuts import render LOGIN_TRY_LIMIT = 5 def login(request): user_id = request.POST.get('user_id', '') user_pw = request.POST.get('user_pw', '') # 로그인 실패기록..

쿠키값 관리가 중요한 이유 대부분의 쿠키는 PC 메모리에 상주하며, 브라우저 실행이 종료되면 사라진다. 그러나 세션에 관계없이 지속적으로 저장되도록 설정할 수 있으며, 보통 C드라이브에 저장되어 사용된다. 개인정보, 인증 등 쿠키값에 영구 저장된다면 공격자는 쉽게 정보탈취 기회를 갖게 된다. 그래서 쿠키값 세팅을 해주는 방법과 개인이 관리하는게 중요하다. 보통 웹 개발 코드 예시 쿠키의 만료시간을 기본값으로 설정한다. 신경쓰지 않거나 테스트를 위해 길게 설정하고 잊고 넘어가는 경우가 있는데 그대로 사용자 하드디스크에 여러가지 정보가 저장되어 있는 쿠키를 공격자가 쉽게 도용될 수 있게 된다. from django.http import HttpResponse def remind_user_state(reque..

공공기관에서 업무를 보시는 사람 중 익스플로러 서비스 종료로 엣지로 시스템이 전환되는 경우가 있다. 그런데 익스플로러에서 잘 뜨는 창이 갑작스럽게 창이 뜨지 않는 경우가 종종 발생한다. 이때 엣지는 팝업창 설정이 기본적으로 차단이 되어 있는데 팝업 및 리디렉션 해제를 해주면 된다. 보통 권장하는 방법은 차단을 유지하고, 특정 페이지만 허용하는 방법을 추천한다. 전체적으로 팝업 및 리디렉션 해제는 하나하나 설정하기에 시간이 촉박할 때 사용하길 바란다. 팝업 및 리디렉션 해제 방법 1. 오른쪽 상단 ... 모양 클릭 2. 아래쪽에 있는 '설정' 클릭 3. 왼쪽 탭에서 '쿠키 및 사이트 권한' 클릭 4. 팝업 및 리디렉션 클릭(안 보이면 스크롤 내리면 보임) 5. 차단 해제 - 허용 부분에 추가하는 방법을 권..

윈도우 엣지를 사용하면 첫 화면이 Bing이라는 화면으로 뜨면서 다양한 뉴스가 나타난다. 개인적으로 이 화면이 많은 정보를 수집하는데 좋아서 사용하고 있지만 구글(goole)과 같이 빈 화면이 나왔으면 할 때도 있다. 이 때 새 탭을 클릭하면 원하는 페이지가 나타나게 설정하는 방법을 소개하려고 한다. 옛날 익스플로러는 설정하는 기능이 있는데 엣지는 구글과 같이 확장도구를 사용해야 한다. 사용법은 간단하다. 확장도구 설정하는 방법 1.오른쪽 상단 확장버튼(직소퍼즐 모양) 클릭 - 없으면 ... 이 모양을 클릭해서 확장 클릭 2. 하단 부분에 '새로운 확장 찾기'에서 Microsoft Edge 용 확장 가져오기 클릭 3. 모든 추가 기능 검색 부분에서 custom new tab 검색 4. custom new..

과거에는 비밀번호를 입력하면 그대로 값을 DB에 반영했었는데 현재는 복잡도와 길이를 검증하여 승인 처리를 해야 한다. 패턴은 아래와 같다. 2가지 이상(문자, 숫자, 특수문자) 8자리 이상 검사 PT1 = ('^(?=.*[A-Z])(?=.*[a-z])[A-Za-z\d!@#$%^&*]{8,}$') PT2 = ('^(?=.*[A-Z])(?=.*\d)[A-Za-z\d!@#$%^&*]{8,}$') PT3 = ('^(?=.*[A-Z])(?=.*[!@#$%^&*])[A-Za-z\d!@#$%^&*]{8,}$') PT4 = ('^(?=.*[a-z])(?=.*\d)[A-Za-z\d!@#$%^&*]{8,}$') PT5 = ('^(?=.*[a-z])(?=.*[!@#$%^&*])[A-Za-z\d!@#$%^&*]{8,}$') ..

티스토리를 하게 되면 구글 애드센스 광고를 게시하게 되고 광고수입이 생기기 시작한다. 한 달을 기준으로 수입이 결제창에 반영이 되고, 지급기준액인 100$가 되어야 설정된 통장으로 지급이 된다. 완전하게 인증받기 위해서는 해당 주소지 입력을 하게 되는데 요기로 우편물이 온다. 우편물을 수령하면 입력하라고 하는 핀번호가 나오게 되는데 이를 입력하게 되면 인증절차는 모두 끝나게 된다. * 참고로 수익 총합이 10$가 되면 수익지급할 PIN번호를 자동으로 우편을 통해 보내준다. 정리하자면 1. 티스토리 애드센스 광고연결 2. 애드센스 결제정보 입력 3. 본인확인 단계 진행 4. 입력된 거주지 주소로 우편물 발행 5. 수령한 우편물에 출력된 애드센스 핀번호 입력 그림으로 보면 이해하기 쉽다. 네이버 블로그, 티..

중요 자원에 대한 잘못된 권한 설정 공격 응용프로그램이 중요한 보안 관련 자원에 대하여 읽기 또는 수정하기 권한을 의도하지 않게 허가할 경우, 권한을 갖지 않은 사용자가 해당 자원을 사용하게 된다. Python의 os.fchmod, os.chmod 등의 함수를 사용하여 파일 생성 및 읽기 모드에서 권한을 설정할 수 있다. 그럴 경우 중요자원에 대한 권한을 획득할 수 있게 된다. 안전한 코딩 방법 설정 파일, 실행파일, 라이브러리 등은 SW 관리자에 의해서만 읽고 쓰기가 가능하도록 설정하고, 설정 파일과 같이 중요한 자원을 사용하는 경우 허가받지 않은 사용자가 중요한 자원에 접근하지 못하게 검사 예시 def write_file(): # 소유자 외에는 아무런 권한을 주지 않음 os.chmod('/root/s..

로그인 인증 절차 로그인의 인증절차를 제대로 구현하지 않을 경우 다른 사람이 기능을 이용할 때 정보 탈취가 일어날 수 있다. 로그인을 하더라도 모든 페이지에서 동일한 권한의 서비스를 제공하는 것 대신 데이터를 열람할 때 다른 인증방식으로 다시 인증하는 방법을 적용해 강화하면 데이터 누출에 대한 보안 문제를 일부 해소할 수 있다. 파이썬 비밀번호(암호) 변경 기능 구현 중요사항 1. 외부 접근 시 보안검사를 우회하여 서버에 접근하지 못하게 설계 2. 중요한 정보가 있는 페이지는 재 인증 적용 3. 안전하다고 검증된 라이브러리나 프레임 워크를 사용 안전한 비밀번호 변경 구현 코드 예시 # login 된 사용자만 접근하도록 처리 @login_required def change_password(request):..

포맷 스트링 삽입 공격 설명 외부에서 입력한 값을 검증하지 않고, 입출력 함수의 포맷 문자열 그대로 사용하는 경우 발생. 파이썬에 있는 포맷 문자열 함수를 이용하여 취약 프로세스를 공격하여 권한 취득하여 임의로 코드를 실행하는 공격 기법 ​ 파이썬 포맷 스트링 삽입 공격 방식 {main.__init__.__globals__[AUTHENTICATE_KEY]} 와 같은 문자열을 입력하여 내부 정보를 유출 유도 공격 예방 코드 예 AUTHENTICATE_KEY = 'Passw0rd' def make_user_message(request): user_info = get_user_info(request.POST.get('user_id', '')) # 사용자가 입력한 문자열을 포맷 문자열로 사용하지 않아 안전함 m..