Insecure CAPTCHA을 알아보자

Insecure CAPTCHA을 알아보자

Insecure CAPTCHA이란CAPTCHA는 사람과 컴퓨터를 구분하기 위해 사용하는 보안기술로 웹사이트에서 자동화된 봇의 무차별 공격을 방지하기 위해 사용됩니다. 공격자는 CAPTCHA에 존재하는 취약점을 활용하여 CAPTCHA를 우회하거나 무효화할 수 있습니다. 이는 웹 애플리케이션의 보안을 심각하게 손상시킬 수 있으며, 무차별 대입 공격이나 계정 탈취 시도에 취약해질 수 있습니다. (참고) 요즘은 CAPTCHA보다는 cloudflare turnstile을 많이 활용하는 것 같습니다. DVWA 실습으로 알아보기참고로 해당 실습을 수행하기 위해서는 DVWA CAPTCHA 설정이 필요합니다.  CAPTCHA가 적용된 페이지가 어떻게 동작하는지 확인해 보겠습니다.패스워드 변경을 하는 페이지로 보이며, 변..

  • format_list_bulleted 보안(Security)/웹 보안
  • · 2025. 2. 2.
  • textsms
File Upload 취약점을 알아보자

File Upload 취약점을 알아보자

File Upload 취약점이란파일을 업로드할 때, 파일에 대한 충분한 검증을 하지 않아서 발생하는 보안 취약점입니다. 예를 들어 서버가 특정 파일 유형(예:. php,. jsp 등)을 실행할 수 있도록 허용할 경우, 공격자는 서버 측 코드 파일을 업로드하여 웹 셸을 실행할 수 있습니다. 이는 공격자가 서버를 완전히 제어할 수 있게 만듭니다 DVWA 실습으로 알아보기File Upload 취약점은 주로 웹셸을 업로드하여 서버에 접근하고 권한을 획득하는 공격과 같이 사용됩니다.아래 2023년 8월에 발생한 파일업로드 공격사례에서도 파일업로드 취약점을 이용해 웹셸을 업로드하는 것을 볼 수 있었습니다. DVWA활용하여, 실제 공격 방식과 유사하도록 파일 업로드 취약점을 활용해 웹셸 업로드를 하는 실습을 진행해 ..

  • format_list_bulleted 보안(Security)/웹 보안
  • · 2025. 2. 2.
  • textsms
Notion AI로 생산성 극대화하는 2가지 방법

Notion AI로 생산성 극대화하는 2가지 방법

1. 글쓰기에 활용하기노션 AI는 문서 초안 작성, 요약, 문장 업그레이드, 이어쓰기, 번역 등 다양한 기능을 제공합니다. ChatGPT와 달리 노션 AI는 워크스페이스 내의 모든 문서와 데이터베이스를 학습 데이터로 활용해 팀의 맥락과 스타일에 맞는 콘텐츠를 생성할 수 있습니다. 또한 ChatGPT 사용 시 복사·붙여넣기로 인한 작업끊김이 존재하는 불편함이 있지만, 노션 AI는 문서 작성과 동시에 AI 기능을 활용할 수 있어 작업 흐름이 끊기지 않는 장점이 있습니다. 아래와 같이 글을 작성하다가 그 다음문장이 떠오르지 않으면, 노션의 이어쓰기 기능을 통해서 다음 문장을 작성하도록 시킬수 있습니다.  2. RAG기반 정보 검색하기RAG(Retrieval Augmented Generation)는 AI가 답변..

  • format_list_bulleted ETC/지식관리
  • · 2024. 12. 29.
  • textsms
온프레미스와 클라우드

온프레미스와 클라우드

온프레미스와 클라우드 비교온프레미스 환경은 기업이 직접 인프라를 구매하고 관리하는 방식입니다. 이는 유연성이 낮고 초기 비용이 크다는 단점이 있습니다. 반면 클라우드 환경은 외부 서비스 제공자가 인프라를 관리하여 편의성과 탄력성을 제공합니다. 이러한 장점으로 인해 많은 기업들이 온프레미스에서 클라우드로 전환하고 있습니다. 온프레미스 아키텍처기존 방식인 온프레미스 아키텍처(On-Premise Architecture)는 기업 내부의 데이터센터에서 모든 하드웨어(서버, 스토리지, 네트워크 장비)와 소프트웨어 인프라를 직접 구매, 구축, 유지보수하는 방식으로 운영합니다. 이러한 방식의 특징은 모든 과정을 기업이 통제할 수 있다는 장점이 있지만, 초기 비용과 유지 관리 부담이 크다는 단점이 존재합니다. 클라우드 ..

  • format_list_bulleted 클라우드
  • · 2024. 12. 19.
  • textsms
SDLC의 변화: Waterfall에서 DevSecOps까지

SDLC의 변화: Waterfall에서 DevSecOps까지

소프트웨어 개발 방법론은 긴 여정 속에서 시대적 요구와 기술 환경 변화에 따라 꾸준히 진화해 왔습니다. Waterfall → Agile → DevOps → DevSecOps로 이어지는 이 진화 과정은 시장 변화에 신속히 대응하고, 협업 문화를 확립하며, 자동화를 통한 효율성을 극대화하고, 궁극적으로 보안까지 개발 프로세스에 완전히 통합하는 방향으로 나아가고 있습니다. 이는 현대 소프트웨어 개발 조직이 안정적이고 신뢰성 높은 서비스를 지속적으로 제공하기 위해 필수적으로 거쳐야 하는 진화의 결과입니다. 1. Waterfall(폭포수) 방법론Waterfall(폭포수) 방법론은 소프트웨어 개발 방법론 중 하나로, 각 개발 단계(계획, 분석, 설계, 구현, 테스트, 배포, 유지보수)가 순차적으로 진행되며 이전 단..

  • format_list_bulleted 보안(Security)
  • · 2024. 12. 18.
  • textsms
웹셸(WebShell)

웹셸(WebShell)

1. 웹셸이란웹 셸(Web Shell)은 웹 서버에 업로드되어 파일탐색이나 시스템 쉘 명령어를 실행할 수 있는 파일입니다. 본래는 서버 관리 등의 목적으로 생겨났지만, 악의적인 해커들이 웹셸을 업로드하여 서버에 침투해 악성 활동에 활용하면서 보안 위협으로 간주되고 있습니다.  악의적인 해커들은 특정 서버의 존재하는 취약점을 파악하여 웹셸을 서버에 업로드합니다. 이를 통해 공격자는 명령 실행, 파일 업로드 및 다운로드, 데이터 유출 등의 작업을 수행할 수 있습니다. 공격자가 취약한 파일 업로드 기능이 있는 웹 애플리케이션을 발견하는 과정을 정리해 보겠습니다.공격자는 먼저 웹 서버의 취약점을 스캔하여 파일 업로드 기능을 발견합니다.파일 확장자 검증이 미흡한 것을 확인한 후, .php 확장자를 가진 웹셸 파일..

  • format_list_bulleted 보안(Security)/웹 보안
  • · 2024. 12. 18.
  • textsms