대표적인 웹 취약점 - 1

대표적인 웹 취약점 - 1

국내에서 자주 발생하는 웹 취약점 4가지를 정리하였다. *웹취약점의 범위와 용어는 KISA의 표준 문서를 기반으로 자신의 회사에 맞게 정의하기 때문에 대표적인 SQLI, XSS와 같은 취약점 이외에도 추가적으로 정의하는 취약점이 존재할 수 있다. 1. 관리자 페이지 노출 취약점(Administration page exposure)정의관리자만 접근이 가능해야 하는 관리자 페이지가 일반 사용자에게 노출되어 발생하는 취약점 관리자페이지의 URL이 추측가능한 형태(/admin, /manager 등)로 구성되어 있을 때 주로 발생하며, 공격자는 관리자 로그인 페이지로 이동하여 무차별 대입공격 또는 딕셔너리 공격을 통해 관리자 권한 획득을 시도한다. 해당 관리자 권한을 통해 중요한 데이터를 조작 및 유출할 위협이 ..

  • format_list_bulleted 보안(Security)/웹 보안
  • · 2024. 9. 7.
  • textsms
대표적인 정보수집(OSINT) 도구, Shodan(쇼단)

대표적인 정보수집(OSINT) 도구, Shodan(쇼단)

쇼단(Shodan)이란?인터넷에 연결된 장비(웹캠, CCTV, 서버, 라우터, IoT 기기 등)를 검색할 수 있는 검색 엔진입니다. 보안관점에서 기업이나 기관이 자사 인프라 노출 상태를 확인하거나 인터넷에 노출된 취약한 시스템을 찾을 때 활용할 수 있습니다. ※쇼단 자체는 합법적인 검색 엔진이지만, 검색 결과를 이용하여 무단 접속이나 해킹을 시도하는 것은 명백한 불법 행위입니다. 쇼단 사용해 보기해당 IP의 오픈된 Ports 정보확인이 가능합니다. 해당 포트의 취약점 정보도 파악할 수 있습니다.(취약점 정보는 Exploit-DB를 통해 가져옵니다.) 2.3 쇼단에서 제공하는 서비스1) CCTV 또는 WebCam검색 시 인증 없이 확인할 수 있는 웹캠도 일수 존재하기 때문에 프라이버스 침해와 노출된 영..

  • format_list_bulleted 보안(Security)/웹 보안
  • · 2024. 8. 27.
  • textsms
Linux 필수 명령어

Linux 필수 명령어

리눅스를 시작하기 위해서 필수적으로 알아야 할 명령어는 무엇일까 고민하며 정리하였다.(명령어와 관련된 실습은 계속해서 업데이트할 예정) 1. 파일/디렉터리생성, 이동, 삭제, 복사cd: 디렉터리 이동mkdir: 디렉터리 생성rm: 파일/디렉터리 삭제mv: 파일/디렉터리 이동 또는 이름변경cp: 파일/디렉터리 복사 검색, 읽기ls: 디렉터리 목록 확인cat: 파일 내용 출력find: 파일/디렉터리 검색grep: 특정 키워드가 포함된 파일 검색pwd: 현재 디렉터리 경로 확인  2. 권한/계정id: id 정보 확인chgrp: 파일/디렉터리 그룹 변경chmod: 파일/디렉터리 권한 변경chown: 파일/디렉터리 소유자 변경passwd: 사용자 비밀번호 변경groupadd: 새 그룹 생성useradd: 새 사용..

  • format_list_bulleted 컴퓨터 기초(CS)/OS(Linux, Windows)
  • · 2024. 8. 20.
  • textsms
Git 시작하기

Git 시작하기

1. Git 이란소스코드와 파일의 변경이력을 추적하고 관리할 수 있는 도구로 팀단위로 개발할 때 필수적으로 사용되는 도구이다.또한 Git은 검은 화면의 터미널을 사용하기 때문에 기본적으로 리눅스 지식이 필요하다. 아래 Linux 명령어만 숙지해도 Git을 사용하는 데는 문제가 없을 것이라고 생각한다. Linux 필수 명령어리눅스를 시작하기 위해서 필수적으로 알아야할 명령어는 무엇일까 고민하며 정리하였다.(명령어와 관련된 실습은 계속해서 업데이트 할 예정)  1. 파일/디렉토리생성, 이동, 삭제, 복사cd: 디rybbit-life-debugging.tistory.com  2. Git 관련 개념2.1 레포지토리(Repository)소스코드와 변경이력을 관리하는 저장소를 레포지토리(Repository)라고 한..

  • format_list_bulleted 컴퓨터 기초(CS)/Git
  • · 2024. 8. 13.
  • textsms
구글해킹(Google Hacking)

구글해킹(Google Hacking)

1. 구글 해킹이란구글을 해킹하는 것이 아닌, 구글의 고급 검색 연산자를 통해서 보안 취약점 또는 민감한 정보를 찾는 기술이다. 구글 해킹(google hacking)은 다른 말로 구글도킹(google dorking)이라고도 하며 구글 도킹은 고급 검색 연산자를 통한 정보수집을 하는 것을 의미한다. 이를 악용하여 취약점 또는 민감한 정보를 수집한 것이 구글 해킹이다. 하지만 두 용어는 자주 혼용해서 쓰는 것으로 보인다.  2. 자주사용되는 연산자" "큰따옴표에 사이에 단어를 넣어 검색하면, 특정단어가 포함된 내용만 검색한다. 예를들어 "보안"이라고 검색하게 되면, 보안이라는 단어가 들어간 내용만 검색한다. 만약 해당 큰 따옴표 없이 검색하면, 단어와 연관된 검색어도 추가로 검색한다. -특정 단어를 제외하..

  • format_list_bulleted 보안(Security)/웹 보안
  • · 2024. 8. 11.
  • textsms
웹서버(WS)와 웹 애플리케이션 서버(WAS)의 차이

웹서버(WS)와 웹 애플리케이션 서버(WAS)의 차이

1. 웹서버(WS; WebServer)서버-클라이언트의 개념을 알고 있다면, 웹서버(WS)는 웹 환경에서 서비스를 제공하는 주체이고 웹클라이언트는 서비스를 요청하고 제공받는 주체라는 것을 알 수 있다.  웹서버에 대해서 좀더 구체적으로 살펴보자면, 웹 클라이언트가 웹브라우저 URL를 통해 HTTP 요청을 했을 때, 웹서버는 해당 요청을 받아 HTML, CSS, JS과 같은 정적인 콘텐츠를 제공하는 역할을 한다. *대표적인 웹서버는 Nginx, Apache, IIS(windows전용 웹서버)가 있다.  2. 웹 애플리케이션 서버(WAS; WebApplicationServer)란?웹 애플리케이션 서버는 웹서버와 동일하게 HTTP 통신을 하며, 정적인 콘텐츠를 제공한다. 하지만 추가적으로 동적인 콘텐츠를 제공..

  • format_list_bulleted 컴퓨터 기초(CS)/네트워크(Network)
  • · 2024. 8. 1.
  • textsms