본문 바로가기

IT_정보보안41

41. 클라우드 보안 기초 (2) : 특징, 관련 법령 기존 온프레미스 환경 대비 차이점 및 비교  온프레미스(On-Premise) 환경 온프레미스는 기업이나 조직이 자체적으로 IT 인프라를 구축하고 운영하는 방식이다. 서버, 네트워크 장비, 스토리지 등 모든 장비를 소유하고, 자체 데이터센터에서 관리한다. 특징 완전한 제어권 : 모든 하드웨어와 소프트웨어가 기업 내부에 있기 때문에 보안과 데이터 관리에 대한 통제력이 높다. 높은 초기 비용 : 서버와 장비 구매, 데이터센터 구축, 유지보수 비용이 높다. 유지보수 부담 : IT 전문 인력을 통해 하드웨어 유지보수, 소프트웨어 업데이트, 백업 등을 수행해야 한다. 확장성의 제한 : 자원이 고정되어 있어 갑작스러운 요구 증가에 대응하기 어렵다. //41주차 메모장 클라우드 환경 클라우드는 IT 자원을 필요에.. 2025. 2. 11.
40. 클라우드 보안 기초 (1) : 개념 및 입문, 종류 클라우드의 경우 불과 3, 4년 전만 하더라도 그렇게까지 각광을 받지 않았다.하지만 갑작스럽게 클라우드 관련 직무, 회사, 자격증 시험이 많이 활성화가 되었고,  신설 회사들은 클라우드 쪽으로 환경들을 대부분 구축을 하고 있는 상황이기에 우리가 확실하게 짚고 넘어가야할 영역이라고 볼 수 있다.     클라우드 컴퓨팅  배경 초기에는 기업이나 개인이 데이터를 저장하고 프로그램을 실행하기 위해 온프레미스 서버를 구축해야 했다. 즉, 회사에서 직원들의 이메일을 관리하거나 파일을 저장하려면 큰 서버를 구매하고, 전문 IT 직원이 이를 관리해야한다.  하지만 해당 방식은 아래와 같은 여러 문제가 존재한다. 비용 부담 : 서버 구매, 전기료, IT 인력 고용 등으로 초기 비용이 매우 높다. 유연성 부족 : 더 많은.. 2025. 1. 26.
39. 웹 모의해킹 실습 (6) : XSS(Stored), XSS(Reflected) XSS(Stored, 저장형 XSS)  개념 공격자가 악성 스크립트를 웹 애플리케이션의 서버에 영구적으로 저장하고, 이를 다른 사용자가 웹 페이지를 방문할 때마다 실행되도록 하는 일반적인 형태의 XSS 유형이다. 주로 게시판, 댓글, 프로필 정보 등 사용자 생성 콘텐츠를 저장하는 기능에서 발생한다. 즉, 악성 스크립트가 서버에 저장된 후, 해당 데이터를 불러오는 모든 사용자의 브라우저에서 악성 스크립트가 실행되는 지속적인 공격 유형이다.  열람하는 사용자들은 쿠키를 탈취당하거나 다른 사이트로 리디렉션 되는 등의 공격을 받는다. 실습(Low Level)Stored XSS 실습 페이지의 구성을 살펴보면, 방명록에 이름과 메시지를 남기는 형태이다. 만약 이 메시지를 남길 때, HTML 검증이 이루어지지 않는다.. 2024. 12. 26.
38. 웹 모의해킹 실습 (5) : Weak Session IDs, XSS(DOM) Weak Session IDs  개념 사용자의 세션을 식별하는 데 사용되는 세션 ID가 예측 가능하거나, 세션 만료 기간이 공격하기 충분한 시간으로 설정되어 있어 안전하지 않은 경우,  공격자가 이를 탈취하여 인증된 사용자의 세션을 가로채서 해당 권한을 통해 악용하는 방식으로 공격이 이루어진다. 세션 ID란 서버가 사용자를 식별하고 인증 상태를 유지하기 위해 사용하는 고유한 값이다. 사용자가 로그인하면 서버는 세션 ID를 생성하고 이를 사용자의 브라우저(쿠키나 URL 파라미터)에 저장한다.  서버는 이후 요청에서 이 세션 ID를 확인하여 사용자를 식별하고 인증하는 형태이다. 실습(Low Level)아래는 Weak Session IDs 실습 페이지이다.‘Generate’ 버튼이 존재해서 해당 버튼을 클릭하.. 2024. 11. 18.
37. 웹 모의해킹 실습 (4) : SQL Injection, SQL InjectionI (Blind) SQL Injection  개념 데이터베이스(DB)와 연동된 웹 애플리케이션에서 공격자가 입력 폼 및 URL입력란에 SQL문을 삽입하여 DB로부터 정보를 열람(또는 조작)할 수 있는 취약점을 의미한다.  사용자가 웹 애플리케이션의 입력 폼이나 URL 쿼리 문자열에 SQL 구문을 포함한 악성 코드를 입력할 수 있는 경우, 애플리케이션이 이 입력값을 제대로 검증하지 않고 SQL 쿼리에 포함시키면 SQL 인젝션 취약점이 발생하는 원리이다.   웹 애플리케이션으로부터 전달된 사용자의 입력 값이 다시 웹서버에서 DB서버의 SQL분석기에 전달될 때, 제대로 된 검증을 하지 않으면 SQL문 주입 취약점이 발생한다.  즉, 악의적인 사용자가 입력한 SQL 구문이 기존의 쿼리와 결합되어, 원래 의도된 쿼리와는 다른 .. 2024. 11. 12.
36. 웹 모의해킹 실습 (3) : 파일 업로드, Insecure CAPTCHA 파일 업로드(File Upload)  개념 웹 애플리케이션에 파일 업로드 기능이 존재하고, 업로드 파일에 대한 필터링 조치가 미흡하여, 서버 측에서 실행될 수 있는  서버 사이드 스크립트 파일(asp, jsp, php 파일 등)을 업로드가 가능해서 발생할 수 있는 취약점을 의미한다.  이때, 게시판 내에 첨부파일이 업로드된 파일 경로를 확인하고, 해당 경로에 접근한 후 서버 상의 웹 쉘을 실행하여, 시스템 내부 명령어를 실행하거나 권한을 획득하고, 외부와 연결하여 시스템을 제어할 수 있다. 해당 취약점을 통해 서버에 영향을 미쳐서 권한 상승, 정보 유출,악성코드 배포 등의 여러 보안 사고가 발생할 수 있으므로, 매우 크리티컬 한 취약점이라고 할 수 있다. 실습(Low Level)아래는 Low Level.. 2024. 10. 27.

티스토리툴바