![]()
[웹 취약점] 약한 문자열 강도 개요 약한 문자열 강도는 사용자 ID, 비밀번호, 신용카드 정보 등이 반복되는 패턴을 가지고 있거나 추측하기 용이한 문자열로 구성되어 있어 예측, 무차별 대입 공격, 사전 대입 공격 등으로 인해 탈취가 발생하는 취약점이다. 예시 위 사진은 NordPass에서 제공하는 취약한 비밀번호 목록 중 일부이다. user, root, test, password와 같이 사전에 등록되어 있거나 흔히 사용되는 단어, asdf, qwerty, 123456 같이 키보드 상에서 특정 패턴을 가지고 있는 문자열, 111111, 123123 같이 같이 연속적인 숫자 등이 약한 문자열에 해당된다. 진단 방법 약한 문자열 강도 취약점을 진단하기 위한 접근 방식은 크게 두가지로 구분된다. 첫째, 유추하..
![]()
[웹 취약점] 운영체제 명령 실행 (Command Injection) 개요 운영체제 명령 실행 (Command Injection)은 사용자 입력 값에 의해 시스템 명령어가 실행되는 취약점으로, 사용자 입력 폼, 쿠키, 파라미터, HTTP 헤더 등을 시스템 셸에 전달할 때 공격이 발생한다. 운영체제 명령 실행은 주로 사용자 입력 값에 대한 검증이 미흡하여 발생하게 된다. 예시 위 사진의 페이지는 사용자가 IP 주소를 입력하면 해당 IP로 Ping을 보내고, 그 결과를 출력하는 페이지이다. 그런데 IP 주소 대신 '& cat /etc/passwd &'라는 문자열을 삽입하였더니 passwd 파일의 내용이 출력되는 것을 볼 수 있다. 이것이 바로 운영체제 명령 실행 취약점이다. $target = $_REQUES..
![]()
[웹 취약점] 디렉터리 인덱싱 (Directory Indexing, Listing) 개요 디렉터리 인덱싱(Directory Indexing)은 클라이언트인 웹 브라우저가 웹 페이지가 아닌 디렉터리 구조를 가리키는 URL을 요청할 때 웹 서버 측에서 인덱스 페이지를 응답하여 발생하는 취약점이다. 인덱스 페이지는 디렉터리 및 파일 리스트를 사용자에게 노출하기 때문에 악의적인 사용자는 시스템 구조를 파악하는 것이 가능하며, 일반 웹 페이지보다 자유로운 액세스를 제공하므로 공개되지 않은 파일 등에 액세스하는 것이 가능하다. 예시 디렉터리 인덱싱은 검색엔진만으로 취약점에 노출된 웹 사이트를 간단히 살펴볼 수 있다. 'intitle:index of'를 검색하면 취약점에 노출된 웹 사이트들을, 'intitle:ind..
![]()
정보보안과 관련된 직업 7가지 정리 목차 초등학생 시절부터 정보보안전문가의 꿈을 키워왔던 나는 지금 모의해킹과 취약점 진단을 수행하는 보안 컨설턴트로 활동하고 있다. 학창 시절, 이 분야를 공부하면서 국내 자료가 많이 부족하여 애를 먹었던 기억이 아직 생생하다. 그래서 정보보안을 미래의 진로로 삼은 사람들을 위해 모아둔 자료와 공부했던 내용을 블로그에 하나씩 풀어나가고자 한다. 그 시작은 정보보안과 관련된 직업을 정리하는 것으로 시작해본다. 1. 정보보호산업이란 정보보호산업은 정보보호와 관련된 제품을 개발, 생산, 유통하거나 컨설팅, 보안관제 등의 서비스를 수행하는 산업으로 '정보보안', '물리보안', '융합보안' 총칭하는 용어이다. 정보보호산업은 창과 방패처럼 끝없이 진화하고 발전하는 것이 특징이다. ..
![]()
윈도우 11 백신(Anti Virus Software) 순위 2022 BEST 5 장단점 정리 최근 몇 년간 랜섬웨어와 크립토마이닝 같이 컴퓨터를 위협하는 바이러스가 급격하게 증가했기 때문에 안티 바이러스 소프트웨어를 설치하는 것은 정말 중요하다. 하지만 주변을 살펴보면 수많은 안티 바이러스 소프트웨어 중 어떤 것을 설치해야 하는지 고민하는 사람들이 정말 많다. 그래서 이번 글에서는 공신력 있는 'AV-TEST'의 결과와 나의 경험을 바탕으로 윈도우 11 백신 순위를 소개하려 한다. 1. 카스퍼스키 인터넷 시큐리티 (Kaspersky Internet Security) 카스퍼스키는 다재다능한 백신이라고 할 수 있다. 높은 진단률, 낮은 오진율, 가벼움을 모두 갖추었다. 진단율의 경우 최상위 백신들은 모두 ..
