컴퓨터보안9 디렉토리 리스닝 취약점 디렉토리 리스닝 취약점 사용자가 웹 서버의 디렉토리 구조 파일명 등을 파악 할 수 있는 취약점이다. 공격자가 이를 확인하여 웹 서버의 정보를 수집할 수 있게 한다. 대응방안 - IIS에서 디렉터리 검색 메뉴가 체크돼 있다면 이를 해제시킨다. - 아파치 웹 서버의 설정 파일 httpd.conf에서 Indexes 값을 제거 하자 2012. 8. 9. Jailbreak란?? jailbreak는 사전적 의미는 탈옥이란 의미를 가지고 있으며, jailbreak는 Jail Hack이라고도 한다. Jailbreak는 특정 OS의 제약 사항을 위회하여 좀 더 자유로움을 주는 해킹 기술이다. - Jailbreak란? iPhone의 jailbreak는 처음 iPhone이 출시 되었을때, 3rd Party application 설치가 불가능하자 iPhone 펌웨어를 개조하여 이를 가능케 하기 위해 시작되었다. 하지만, 이러한 방식이 애플의 지적재산권을 침해한다는 지적을 받자 iPhone의 펌웨어를 수정하지 않고, root권한을 얻어 jailbreak를 하였다. iPhone을 jailbreak하면 정식 OS에서 제공하지 못하는 다양한 기능(백그라운드 실행, 일정관리 접근 등)을 지원하는 a.. 2009. 9. 15. 웹페이지 구현시 기본 보안 항목 1. 모든 페이지에서 사용자 인증을 확실히하여 관리자 또는 권한이 있는 사람만 볼수 있는 페이지를 중간페이지 또는 우회페이지를 통해서 접근하지 못하도록 확실히 체크해 주십시요. (일반사용자는 볼 필요가 없는 관리자페이지 같은경우는 파일명을 유추하기 어려운 이름으로 변경) 2. 중요한 데이터가 처리되는 곳에서는 SSL기술을 사용하여 데이터 암호화 적용 3. IIS를 통해서 강제적으로 접근방어 IIS에서 관리자 페이지가 들어있는 폴더를 선택하고 속성 - 디렉토리보안 - IP주소 및 도메인 이름제한 편집으로 들어가셔서 액세스 거부를 선택하고 추가 버튼을 클릭하여 관리자 IP주소를 등록 이렇게 하게되면 해 당 관리자 ASP페이지는 관리자 ip주소로 접근한 pc만이 접근이 가능하다 4. 모든 변수값을 넘기고 받을.. 2009. 5. 17. DES 3DES AES ANSI에 의해 Data Encryption Algorithm(DES) 와 ISO에 의해 DEA-1로 알려진 DES는 20년 동안 세계적인 표준으로 사용된 64비트 블록 암호 알고리즘이다. DES(Data Encription Standard)는 64비트 블록 암호 알고리즘으로서 56비트의 키를 사용하여 블록을 암호화하며 1976년 미국 연방 표준으로 채택된 후 매 5년마다 안전성 평가를 통하여 1998년까지 안전성을 인정 받아 왔다. 3DES(Triple Data Encryption Algorithm) DES의 짧은 키를 보완 하기 위해 나왔으며 키의 길이가 2~3배 길어, 강도는 강하지만 속도가 2~3배 정도 느리다는 단점이 있었다. 1997년 1월 NIST는 AES(Advanced Encryption.. 2008. 10. 24. honey pot(하니팟) 개념 ZERO-DAY 공격을 탐지하기 위한 수단중 하나로 해커의 정보를 얻기 위한 하나의 개별 시스템이다. 구축방법 하니팟은 실 시스템과 동일한 모든 구성을 가지고 있어야 효과적이며, 해킹이 가능한 것처럼 취약해 보여야 한다. 하니팟은 미끼로 쓰이는 시스템 이므로 password, admin 등 같은 일급비밀이라는 폴더 또는 파일로 해커의 주의를 끌어야 한다. 목적 경각심(특히 경영진), 정보, 분석 및 연구 . to watch what attackers do, in order to learn about new attacks . to lure an attacker to a place n which you may be able to learn enough to identity and stop the att.. 2008. 10. 24. 컴퓨터 보안 평가 지침서(TCSEC) 컴퓨터 보안 평가 지침서(Trusted Computer Security Evaluation Criteria) 미국 국립 컴퓨터 보안센터에서 개발 표지 색이 오렌지색이기 때문에 통상 오렌지북이라고 부른다 컴퓨터 시스템을 보호를 위하여 개발된 최초의 체계적이고, 논리적인 표준 TCSEC은 최종적으로 CC로 대체 되었다. TCSEC 보안등급 세부내용 A1 검증된 설계 극비정보 취급, 형식상 엄격한 인증, 제한 및 감사 B3 보안도메인 매우 중요한 정보를 취급하는 고도의 안전한 환경 은닉채널(covert channel) 보호 timing, storage 모두 B2 구조화된 보호 은닉채널(covert channel) storage만 보호 트랩도어가 없음을 보증 참조 모니터는 B2이상 B1 레이블 보안 분류된 데이.. 2008. 10. 19. 보안관리 개념 및 원칙 . 정보란? 정보는 실 자산과 같이 가치를 가진 자산이다. 그러므로 중요하게 보호 되어야 한다. . 보안에 있어 가장 이슈가 되는 사항 1. 경영진의 지원 2. 보안인식 교육 3. 악성코드 4. 패치관리... 취약성 관리... 위험관리 . 정보보호의 정의와 목적 가용성, 무결성, 기밀성 보호하는 것이다. 가용성: 자산이 인가된 당사자에게 필요한 시간에 사용이 가능해야 한다. 무결성: 인가된 당사자에게만 변경이 가능해야 한다. 기밀성: 인가된 당사자에게만 접근이 가능해야 한다. 2008. 10. 13. 지적 재산권법 - 지적 재산권법 (Intellectual Property Law) 창조, 혁신과 같은 아이디어를 하나의 자산으로 인정하여 소유할 수 있도록 하는 것 단 영유하는 것은 아니다 1) Patent(특허권): 산업에 응용할 수 있는 새롭거나 개선된 상품이나 프로세스 등 보호 특허는 아이디어 자체가 아니라 아이디어를 수행하기 위한 장치와 과정을 보호 2) Copyright(저작권) : 문학, 음악,건축 등 저작권자의 허락없는 무단 복제를 금지하여 지적 재산권을 보호하는 형태 아이디어를 보호하는 것이 아니라 아이디어 표현에 대하여 보호 3)Trademark(상표권) 일반적으로 판매자들이 자사 상품에 타사와 구별되기 위하여 붙이는 로고나 심벌 4)Trade Secret: 모든 유 무형의 금융, 비즈니스, 과학 기술.. 2008. 10. 13. Risk Management 위험관리 위험 관리 개요 위험관리의 목표는 위험을 최소로 하는 것이다. 즉 잔여 위험을 줄이는 것이다. 실제 위험 관리 수준은 조직, 조직의 자산 가치, 예산 정도에 의존한다. (잔여위험: 기업에서 받아들일 수 있을 만큼 위험을 감소하기 위하여 보안대책이나 대응 수단을 강구하고 나서 남는 위험을 말한다) 위험 관리 목적 . 조직 내에 저장, 프로세스, 전송되는 정보에 대하여 더 나은 보안을 제공한다. . IT예산 내에서 보안 관련 지출을 정당화하기 위하여, 경영자를 설득할 수 있도록 데이터 제공 . 리포팅을 기반으로 관리자가 IT 시스템에 대하여 최종 운용을 허가 하도록 지원하므로 조직이 임무를 완수 할수 있도록 한다. 위험 관리의 핵심 1) 경영진의 지원 2) IT team의 지원 3) Risk Assessme.. 2008. 10. 12. 이전 1 다음