반응형 보안/기본 지식6 OWASP TOP 10 정리 - WEB 2021 버전 항목 설명(최신) OWASP TOP 10이란?OWASP(Open Web Application Security Project)가 발표하는 보안 위협 목록이다. 보통 보안 담당자 및 업무 관계자들이 이 목록을 업무에 참고용으로 많이 쓴다.사이트를 들어가보면 아래와 같이 2025년도 상반기에 최신 업데이트가 있을 것으로 보인다. 아래와 같이 OWASP TOP 10은 2017년에서 2021년도에 개정이 됐었던 걸 보면, 4년주기로 갱신을 하는 것 같다.2021년도엔 3개의 새로운 항목이 추가되었고, 4개의 항목의 이름과 범위가 변경되었었다. [2021년도 취약점 정리]코드위험설명A01취약한 접근제어(Broken Access Control)[변경사항] A05 → A01.*애플리케이션의 94%에서 취약한 접근제어 항목이 발.. 2024. 10. 19. 코딩 및 보안 관련 지식 습득 및 실습 사이트 정리 *경고: 해당 포스팅으로 배운 해킹 지식을 인가되지 않은 사이트에서 불법적으로 사용할 경우 책임은 오로지 본인에게 있습니다. 기본 지식[코딩] - 백준: https://www.acmicpc.net/step - 프로그래머스: https://school.programmers.co.kr/learn/challenges?order=recent [네트워크] - 네트워크 책 하나 사서 정독하길.. 보안업무를 하는 사람들은 시스템이 어떻게 구성되고, OSI 7계층 별로 어떻게 취약점을 막을 것인지, 장비가 뭐가 있고 등등 알아야 하는 게 많다. 솔직히 필자는 기본중의 기본이라고 생각한다. 요즘 리눅스 마스터 자격증을 따는것(사실 실무자들은 이거 왜 자꾸 따오냐. 라는 생각하긴 함)처럼 이것도 기본이라고 생각. [DB.. 2024. 9. 24. HSTS(HTTP Strict-Transport Security, RFC 6797) 개념 [개념] 웹 사이트가 오직 HTTPS를 통해서만 접근이 가능하다고 선언하여, 보안 연결을 전제로 하는 상호작용을 지시하고 강제하는 보안 정책 매커니즘 [구현 방법] 웹 서버 응답 헤더로 Strict-Transport-Security 헤더 설정 Strict-Transport-Security: max-age=31536000; preload; includeSubDomains //HSTS 정책을 31,536,000초(1년) 동안 하위 URL 모두 적용한다는 의미 위 사진과 같이 응답헤더에 포함되어있는 것을 확인 가능 브라우저가 HTTPS응답에서 위 헤더를 확인하게 되면 max-age에 명시된 시간만큼 '해당 도메인은 HTTPS로만 연결해야 한다'라고 기억하게 됨 그리고 이후 HTTP 연결이 시도된 경우에는 30.. 2024. 3. 20. 127.0.0.1의 의미_루프백(loopback), 로컬호스트(localhost) 주소 프록시 도구를 설정할 때 우리는 127.0.0.1 의 IP주소로 설정하게 된다. 이 주소는 무엇일까. 네트워크에서 127.0.0.1 이 주소를 특수한 주소로 지정하고 있다. 루프백(loopback)주소, 로컬호스트(localhost) 주소라고도 불린다. 루프백(loopback): 전기신호의 라우팅, 디지털 데이터 스트림 등의 흐름이 의도적인 가공이나 수정 없이 원래의 장치나 장비로 돌아가는 것. 127.0.0.1을 목적지 IP로 설정하면 본인이 패킷을 다시 받게된다. 그래서 루프백 주소라고 부르는 것이다. 간단하게 내 컴퓨터 주소라고 생각하면 된다. 다른 컴퓨터에서는 이 주소에 접근할 수 없다. (내 IP가 192.168.16.16(임의의 값 지정) 이고 127.0.0.1로 패킷을 보낸다고 하면 내 IP.. 2024. 3. 5. 잘 알려진 포트 (Well-Known port) 정리 *포트: 논리적인 접속장소를 나타내는 이정표 구분포트 범위설명0~1023 잘 알려진 포트- 어떤 특권을 가진 서비스에 의해 사용될 수 있도록 예약되어 있음- 루트(root) 권한으로만 포트를 열 수 있음- 루트 권한으로 실행된 프로그램만이 이 포트에서 데이터를 수신 할 수 있지만, 권한에 상관없이 모든 프로그램이 이 포트로 데이터를 보낼 수 있음1024~49151 등록된 포트서버 소켓으로 사용하는 영역49152~65535 동적 포트- 매번 접속할 때마다 포트번호가 동적으로 부여- 서버 소켓 포트로 사용할 수 없음 잘 알려진 포트(Well-Known port) 정리프로토콜포트용도ECHO7두 장비의 연결을 확인DISCARD9서버는 수신된 데이터를 모두 버림(테스트 목적)DAYTIME13서버의 현재 시간을 .. 2024. 2. 17. Command & Control (C2) 개념 정리 Command & Control 서버란? C2, C&C로도 불리며, 원격지에서 명령을 내리거나, 악성코드를 제어하는 서버를 말한다. 해석하면 명령 및 제어인데, 말 그대로 피해자의 장비에 침투한 악성코드를 원격에서 제어하고 명령을 내린다. 아래와 같이 간단하게 C2서버의 공격을 볼 수 있다. 2024. 1. 25. 이전 1 다음 반응형
