CyberRanger

웹 서비스와 HTTP웹 서비스는 HTTP(Hypertext Transfer Protocol)라는 프로토콜을 통해 제공된다.서버가 서비스를 제공하며, 클라이언트와 서버가 통신하는 서비스이다. 위와 같이 웹 서비스가 통신한다.클라이언트는 웹 브라우저를 통해 웹 서버에게 정보를 요청한다. (HTTP Request)웹 서버는 사용자가 요청 한 정보를 Database에서 찾아와 사용자에게 전송한다.이때 웹 서버는 HTML, CSS, Javascript를 클라이언트에게 전송한다.클라이언트의 웹 브라우저는 서버로부터 받은 HTML, CSS, Javascript로 화면을 만들어 사용자에게 보여준다.사용자의 요청에 따라 이미지, 소리, 비디오, 파일을 전송하기도 한다.  웹 서버 vs 웹 애플리케이션 서버웹 서버는 웹 ..

인터넷 주소 앞에 www.~~~~~World Wide Web의 이니셜이다. 초기의 웹은 정보 공유를 목적으로 탄생하였다. 누구나 접속하여 정보를 열람하고 수정도 할 수 있었다.이후 웹에 비즈니스적인 요소들이 들어와서 돈을 지불해야 볼 수 있는 유료 정보 서비스가 탄생했다.여기서 유료 정보를 무료로 보려고 하는 공격자들이 생겨나고 웹 보안이 생기게 된다. 보안을 적용하기 전에, 서비스의 주요 기능들을 파악하여 우선순위를 정해야 한다.보안을 반드시 해야 할 곳과 안 해도 될 곳을 파악해야 한다.그 전에 공격자들이 누구일지와 어디를 공격할지를 먼저 파악해야 한다. 예를 들어 학사정보시스템의 경우, 학생의 DB에 접근하여 개인정보를 탈취하거나 성적을 위조하는 등의 공격이 있을 수 있고,개인정보 탈취의 공격자는 ..

1. SQL Injection입력값에 SQL을 삽입하여 데이터베이스의 데이터를 인증 없이 얻어내는 공격 방법.쿼리 조작을 통한 DB 노출 및 변조, 덤프, 파괴,웹 애플리케이션 인증 우회, 시스템 주요 파일 노출 등의 피해가 발생할 수 있다. 1.1. 공격 방법'or 1=1 #을 입력해서 SQL문이 참이 되도록 한다.#은 뒤에 나오는 모든 문장을 주석으로 처리한 것.(MySQL의 주석은 #, Oracle DB의 주석은 --); delete from user; --  (Mass SQL Injection, 한 번의 공격으로 대량의 DB가 변조)'union select 1, 2 from dual --  1.2. 취약점 발생 원인동적으로 Query 구문을 작성하여 사용자의 입력을 SELECT 문에 그대로 대입하..

1. 개요· 데이터베이스 보안: 저장된 데이터에 대한 인가되지 않은 접근, 의도적인 데이터 변경, 파괴, 일관성 저해 등의 다양한 위협 요소로 부터 보호하는 것.  1.1. 데이터베이스 보안 위협 요소위협 요소설명직접적인 접근을 통한 위협직접적인 접근을 통한 위협.집합성(Aggregation)· 낮은 보안 등급의 정보들을 이용하여 높은 등급의 정보를 알아내는 것.· 개별정보는 의미가 부족하나 합치면 중요 정보를 알 수 있음.추론(Interence)· 보안 등급이 없는 일반 사용자가 보안으로 분류되지 않은 정보에 정당하게 접근하여 기밀 정보를 유추해 내는 행위. 1.2. 데이터베이스 보안 요구사항보안 요구사항설명무결성 보장· 처리 중 운영적 무결성 보장· 처리된 데이터의 의미적 무결성 보장추론 방지· 일반..

· Apache 웹 서버의 보안 설정은 httpd.conf 파일에서,· php 관련 설정은 php.ini 파일에서 한다. · Document Root: Apache 웹 서버의 디렉터리로 홈 사이트가 있는 디렉터리이다.  1. httpd.conf 설정구분설명Apache 설치 시 별도의 계정 사용· root로 설치 후 해킹 발생 시 공격자는 root로 로그인이 됨.· 별도의 계정으로 설치 후 권한 최소화.· /etc/passwd 파일에서 Apache 설치 계정을 nologin으로 설정해야 함.httpd 프로세스 기동· Apache 프로세스는 하나만 root로 기동하고 나머지 프로세스는 Apache 설치 계정으로 실행되어야 함.· http 포트는 root만 열 수 있기 때문.디렉터리 리스팅 차단· indexe..