coconuts의 등록된 링크

키자드에 등록된 총 1216개의 포스트를 확인하실 수 있습니다.

Tistory

[유튜브 프리미엄] 아이폰 PIP모드(화면속 화면) 사용하는 방법

아이폰에서도 유튜브의 PIP 픽쳐인 픽쳐 모드를 사용할 수 있게 되었습니다. 갤럭시는 진작에 지원되는 기능이지만 아이폰은 iOS 업데이트부터 구글 유튜브의 지원까지 오랜 시간이 걸렸습니다. 하지만 이번에 사용 가능한 PIP 기능이 정식 버전은 아니지만 앞으로 정식으로 지원하기 전 단계로 보여집니다. 오늘은 아이폰에서 유튜브 PIP모드를 사용하는 방법에 대해서 알아보겠습니다. 아이폰에서 유튜브 최소화 기능 PIP 사용 방법 유튜브 최소화 기능 PIP 모드를 사용 하는 방법 크게 두가지 설정을 해주어야 합니다. 1. 유튜브 특정 사이트에 접속해서 PIP 모드를 활성화 2. 유튜브 앱에 들어가서 PIP 모드를 활성화 유튜브의 새로운 기능을 사용하기 위해 유튜브의 실험실 페이지로 와주셔야 합니다. 먼저 http..

원문보기 내부링크
Tistory

[Web] 파일 다운로드 (FD)

파일 다운로드 취약점 개요 위험도 - 상 점검 목적 - 파일 다운로드 시 허용된 경로 외 다른 경로의 파일 접근을 방지하여 공격자가 임의의 위치에 있는 파일을 열람하거나 다운받는 것을 불가능하게 하기 위함 보안 위협 - 해당 취약점이 존재할 경우 공격자는 파일 다운로드 시 애플리케이션의 파라미터 값을 조작하여 웹 사이트의 중요한 파일(DB 커넥션 파일, 애플리케이션 파일 등) 또는 웹 서버 루트에 있는 중요한 설정 파일(passwd, shadow 등)을 다운받을 수 있음 - cgi, jsp, php 등 파일 다운로드 기능을 제공해주는 애플리케이션에서 입력되는 경로를 검증하지 않는 경우 임의의 문자(../.. 등)나 주요 파일명의 입력을 통해 웹 서버의 홈 디렉터리를 벗어나서 임의의 위치에 있는..

원문보기 내부링크
Tistory

MS오피스 2016, 2018 인증툴 없이 cmd 간편인증 방법

오피스 프로그램 엑셀, 워드, 파워포인트 등을 정품 인증 없이 사용할 경우 정상적으로 기능들을 사용할 수 없게 되거나 바이러스나 랜섬웨어에 감염될 위험이 있습니다. 그리고 인터넷에 돌아다니고 있는 정품 인증 툴 같은 프로그램을 다운받아서 인증을 하는 경우 랜섬웨어나 바이러스에 걸릴 수 있습니다. 그래서 오늘은 굳이 정품인증프로그램을 다운받을 필요없이 명령프롬프트(cmd)로 오피스 프로그램을 인증할 수 있는 방법에 대해서 알아보려고 합니다. MS오피스 2019, 2016 크랙없이 간단 정품인증 방법 공유 물론 오피스 프로그램 정품을 구매하셔서 사용하시는게 가장 베스트인 방법이겠지만 그러지 못하는 상황일 때 급하게 사용할 수 있는 방법입니다. 먼저 윈도우 검색에 명령프롬프트 또는 cmd 를 검색하셔서 "관리..

원문보기 내부링크
Tistory

[클라우드/보안관리] 클라우드 서비스 루트계정 관리 (CA-03)

클라우드 서비스 루트계정 관리 취약점 개요 위험도 - 중 점검 목적 - 알려진 계정을 통한 비인가자의 무단 접근 시도를 예방하기 위함 보안 위협 - 루트 계정은 누구나 알 수 있는 계정이기 때문에 비인가자의 접속 시도 및 비밀번호 무작위 대입 공격에 노출될 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 별도의 관리자 계정을 생성하여 클라우드 서비스를 관리하고 있는 경우 - 취약 : 루트 계정으로 클라우드 서비스를 관리하고 있는 경우 조치 방법 - 별도의 계정을 생성하여 관리자 권한을 부여하고 루트 계정의 권한은 제거하거나 비활성화 점검 및 조치 방법 VMware ESXi Step 1) Web 콘솔 페이지 접속 https:// Step 2) 호스트 > 작업 > 사용 권한..

원문보기 내부링크
Tistory

[클라우드/보안관리] 클라우드 서비스 계정 권한 관리 (CA-04)

클라우드 서비스 계정 권한 관리 취약점 개요 위험도 - 중 점검 목적 - 사용하지 않는 불필요한 계정을 관리함으로써 관리되지 않는 계정을 통한 비인가자의 무단 접속 또는 공격을 차단하기 위함 보안 위협 - 클라우드 시스템에 등록 되어 있는 불필요한 계정을 관리하지 않을 경우 비인가자의 무단 접근 위험이 존재하며, 공용계정 및 퇴사자 계정이 존재할 경우 해당 계정을 통한 침해사고 발생 시 사후 추적이 어려울 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 불필요한 공용계정 및 퇴사자 계정이 존재하지 않거나 관리하고 있는 경우 - 취약 : 불필요한 공용계정 및 퇴사자 계정이 존재하지 않거나 관리하고 있는 경우 조치 방법 - 불필요한 공용계정 및 퇴사자 계정 제거 점검 및 조..

원문보기 내부링크
Tistory

[클라우드/보안관리] 클라우드 서비스 사용자 인증 강화 (CA-05)

클라우드 서비스 사용자 인증 강화 취약점 개요 위험도 - 중 점검 목적 - 클라우드 시스템에 등록한 계정들에 용도별 권한을 부여함으로써 권한 없는 사용자의 설정 변경으로 인한 시스템 침입 경로 유출 위험을 줄이고 관리자 계정이 아닌 일반 계정이 공격자에게 탈취되었을 때 클라우드 시스템을 장악 하지 못하도록 하기 위함 보안 위협 - 클라우드 시스템에 등록된 계정이 모두 관리자 권한으로 부여된 경우 권한 없는 사용자의 의도하지 않은 설정 변경을 통하여 공격자에게 클라우드 시스템 침입 경로를 제공할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 사용자별 계정의 용도를 파악하고 적절한 권한을 부여하고 있는 경우 - 취약 : 사용자별 계정의 용도를 파악하지 않거나 적절한 권한이 부여되..

원문보기 내부링크
Tistory

[네트워크장비/접근 관리] 불필요한 보조 입·출력 포트 사용 금지 (N-17)

불필요한 보조 입·출력 포트 사용 금지 취약점 개요 위험도 - 중 점검 목적 - 사용하지 않는 보조(Auxiliary) 포트의 사용을 제한하여 비인가 접근을 원천 적으로 방지 - 불필요한 포트 및 인터페이스의 비활성화 여부를 점검하여 불필요한 포트 및 인터페이스를 통한 비인가자의 접근을 원천적으로 차단하는지 확인하기 위함 보안 위협 - 불필요한 포트 및 인터페이스가 활성화되어 있을 경우, 비인가자가 활성화된 포트 및 인터페이스를 통해 네트워크 장비에 접근할 수 있는 위험이 존재함 점검 및 조치 방법 판단 기준 - 양호 : 불필요한 포트 및 인터페이스 사용을 제한한 경우 - 취약 : 불필요한 포트 및 인터페이스 사용을 제한하지 않은 경우 조치 방법 - 불필요한 포트 및 인터페이스 사용 제..

원문보기 내부링크
Tistory

[Web] 파일 업로드 (FU)

파일 업로드 취약점 개요 위험도 - 상 점검 목적 - 업로드가 되는 파일의 확장자에 대한 적절성 여부를 검증하는 로직을 통해 공격자가 조작된 Server Side Script 파일 업로드 방지 및 서버 상에 저장된 경로를 유추하여 해당 Server Side Script 파일 실행을 불가능하게 하기 위함 보안 위협 - 해당 취약점 존재 시 공격자가 조작된 Server Side Script 파일을 업로드 하고 실행하여, 쉘 권한 획득 후 홈페이지를 통해 시스템 명령어를 실행하고, 웹 브라우저를 통해 그 결과 값을 보며, 시스템 관리자 권한 획득 또는 인접 서버에 대한 침입을 시도할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 업로드 되는 파일에 대한 확장자 검증이 이루어지는 경..

원문보기 내부링크
Tistory

[클라우드/접근통제] 클라우드 서비스 외부접속 차단 (CA-02)

클라우드 서비스 외부접속 차단 취약점 개요 위험도 - 중 점검 목적 - 허용한 호스트만 서비스를 사용하게 하여 비인가자의 무단 접근 시도를 예방 하기 위함 보안 위협 - 허용한 호스트만 서비스를 사용하게 하여 비인가자의 무단 접근 시도를 예방 하기 위함 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 허용된 IP에서만 관리 콘솔 및 원격 접속이 가능하도록 제한하고 있는 경우 - 취약 : 허용된 IP에서만 관리 콘솔 및 원격 접속이 가능하도록 제한하고 있지 않은 경우 조치 방법 - 호스트에서 제공하는 방화벽 애플리케이션을 이용하여 서비스 접속 허용 IP 등록 점검 및 조치 방법 VMware ESXi • 웹 콘솔 접속 IP 제한 설정 Step 1) Web 콘솔 페이지 접속 https..

원문보기 내부링크
Tistory

[리눅스/계정관리] 동일한 UID 금지 (U-52)

동일한 UID 금지 취약점 개요 위험도 - 중 점검 목적 - UID가 동일한 사용자 계정을 점검함으로써 타 사용자 계정 소유의 파일 및 디 렉터리로의 악의적 접근 예방 및 침해사고 시 명확한 감사추적을 목적으로 함 보안 위협 - 중복된 UID가 존재할 경우 시스템은 동일한 사용자로 인식하여 소유자의 권 한이 중복되어 불필요한 권한이 부여되며 시스템 로그를 이용한 감사 추적 시 사용자가 구분되지 않음 (권한 할당은 그룹권한을 이용하여 운영) 점검 및 조치 방법 판단 기준 - 양호 : 동일한 UID로 설정된 사용자 계정이 존재하지 않는 경우 - 취약 : 동일한 UID로 설정된 사용자 계정이 존재하는 경우 조치 방법 - 동일한 UID로 설정된 사용자 계정의 UID를 서로 다른 값으로 변경 ..

원문보기 내부링크
Tistory

[윈도우/로그 관리] 로그의 정기적 검토 및 보고 (W-34)

로그의 정기적 검토 및 보고 취약점 개요 위험도 - 상 점검 목적 - 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부 를 파악하기 위함 보안 위협 - 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락 될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움 점검 및 조치 방법 판단 기준 - 양호 : 접속기록 등의 보안 로그, 응용 프로그램 및 시스템 로그 기록에 대해 정기 적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어지는 경우 - 취약 : 위 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조 치가 이루어 지지 않는 경우 조치 ..

원문보기 내부링크
Tistory

[보안장비/로그관리] 보안장비 정책 백업 설정 (S-21)

보안장비 정책 백업 설정 취약점 개요 위험도 - 중 점검 목적 - 보안장비 설정 파일의 백업 유무를 점검하여 보안장비 또는 보안장비와 연결된 정보시스템에 문제(장비 이상으로 인해 장비를 교체할 경우, 보안장비 설정을 실수로 잘못 변경하여 문제가 생긴 경우, 비인가자의 공격 및 침입에 의한 설정 변경 및 삭제 등의 침해사고가 발생했을 경우 등) 발생 시 백업된 설정 파일을 통해 즉시 복구 가능하도록 대비하고 있는지 확인하기 위함 보안 위협 - 설정 파일을 백업 해놓지 않을 경우 보안장비에 문제 발생 시 즉시 설정 복구가 되지 않아 보안장비에 연결된 정보시스템의 가용성(예: 웹서버 서비스 불가)에 영향을 미칠 수 있는 위험이 존재함 점검 및 조치 방법 판단 기준 - 양호 : 보안장비에 적용된 ..

원문보기 내부링크
Tistory

[Web] 프로세스 검증 누락 (PV)

프로세스 검증 누락 취약점 개요 위험도 - 상 점검 목적 - 인증이 필요한 모든 페이지에 대해 유효 세션임을 확인하는 프로세스 및 주요 정보 페이지에 접근 요청자의 권한 검증 로직을 적용하여, 비인가자가 하위 URL 직접 접근, 스크립트 조작 등의 방법으로 중요한 페이지에 접근 시도 하는 것을 차단하기 위함 보안 위협 - 인증이 필요한 웹 사이트의 중요(관리자 페이지, 회원정보 변경 페이지 등) 페이지에 대한 접근 제어가 미흡할 경우 하위 URL 직접 접근, 스크립트 조작 등의 방법으로 중요한 페이지에 대한 접근이 가능함 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 인증 후에 접근해야 하는 웹 사이트의 하위 URL을 로그인 하지 않고 직접 접근할 때 접근이 불가능 한 경우 - 취약 ..

원문보기 내부링크
Tistory

[리눅스/계정관리] 계정이 존재하지 않는 GID 금지 (U-51)

계정이 존재하지 않는 GID 금지 취약점 개요 위험도 - 하 점검 목적 - 시스템에 불필요한 그룹이 존재하는지 점검하여 불필요한 그룹의 소유권으 로 설정되어 있는 파일의 노출에 의해 발생할 수 있는 위험에 대한 대비가 되어 있는지 확인하기 위함 보안 위협 - 계정이 존재하지 않는 그룹은 현재 사용되고 있는 그룹이 아닌 불필요한 그 룹으로 삭제 조치가 필요함. 점검 및 조치 방법 판단 기준 - 양호 : 시스템 관리나 운용에 불필요한 그룹이 삭제 되어있는 경우 - 취약 : 시스템 관리나 운용에 불필요한 그룹이 존재할 경우 조치 방법 - 불필요한 그룹이 있을 경우 관리자와 검토하여 제거 점검 및 조치 사례 SOLARIS, LINUX, AIX, HP-UX #groupdel ※ 해당 그룹..

원문보기 내부링크
Tistory

[윈도우/패치 관리] 백신 프로그램 업데이트 (W-33)

백신 프로그램 업데이트 취약점 개요 위험도 - 상 점검 목적 - 백신의 최신 업데이트 상태를 유지하기 위함 보안 위협 - 백신이 지속적, 주기적으로 업데이트 되지 않은 경우 계속되는 신종 바이러 스의 출현으로 인한 시스템 공격의 우려가 존재 점검 및 조치 방법 판단 기준 - 양호 : 바이러스 백신 프로그램의 최신 엔진 업데이트가 설치되어 있거나, 망 격 리 환경의 경우 백신 업데이트를 위한 절차 및 적용 방법이 수립된 경우 - 취약 : 바이러스 백신 프로그램의 최신 엔진 업데이트가 설치되어 있지 않거나, 망 격리 환경의 경우 백신 업데이트를 위한 절차 및 적용 방법이 수립되 지 않은 경우 조치 방법 - 백신 환경설정 메뉴를 통해 DB 및 엔진의 최신 업데이트를 하도록 설정 점검 및 ..

원문보기 내부링크
Tistory

[Web] 자동화 공격 (AU)

자동화 공격 취약점 개요 위험도 - 상 점검 목적 - 웹 애플리케이션에 구현된 기능의 적절성에 대한 검증 로직을 구현하여 자동화 공격 및 무차별 대입 공격 방지 보안 위협 - 웹 애플리케이션의 특정 프로세스에 대한 접근 시도 횟수 제한을 설정하지 않고 자동화 공격을 방치하면, 웹사이트를 다운시키거나 무차별 대입 공격으로 인해 사용자 계정을 탈취할 수 있고, 데이터 등록 또는 메일 발송 기능 등을 이용하여 악의적인 활용이 가능 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 웹 애플리케이션의 데이터 등록 등의 기능 사용 시 대량 사용에 대한 통제가 이루어지는 경우 - 취약 : 웹 애플리케이션의 데이터 등록 등의 기능 사용 시 통제가 이루어지지 않는 경우 조치 방법 - 데이터 등록, 메..

원문보기 내부링크
Tistory

[Windows] hello 지문과 호환되는 지문 스캐너를 찾을 수 없습니다 해결 방법

윈도우10 지문 스캐너 활성화 방법 윈도우10이 설치되어 있는 노트북을 사용하고 있습니다. 언제나 처럼 지문인식으로 노트북 잠금해제를 하려고 하는데 지문 인식이 안되더라고요.. 이럴경우 해결 방법에 대해서 공유해 드리겠습니다. 윈도우10은 Windows Hello 지문이라는 생체인식 로그인 옵션을 제공하고 있습니다. 카메라를 이용한 얼굴도 있지만 속도면에서나 편의성 면에서 지문이 편한 것 같아요, 코로나 바이러스로 인해서 마스크를 쓰고 있는 것도 한 몫 하는 것 같고요 로그인 옵션으로 가 보았더니 Windows Hello 지문과 호환되는 지문 스캐너를 찾을 수 없습니다. 라는 메시지를 띄우며 지문 인식기를 사용할 수 없게 됩니다. 이 메시지를 해결해 보도록 할게요 윈도우 검색에서 장치 관리자를 열어주세요..

원문보기 내부링크
Tistory

[Web] 세션 고정 (SF)

세션 고정 취약점 개요 위험도 - 상 점검 목적 - 로그인 할 때마다 예측 불가능한 새로운 세션 ID를 발행하여 세션 ID의 고정 사용을 방지하기 위함 보안 위협 - 사용자 로그인 시 항상 일정하게 고정된 세션ID가 발급되는 경우 세션 ID를 도용한 비인가자의 접근 및 권한 우회가 가능 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 로그인 할 때마다 예측 불가능한 새로운 세션ID가 발급되고, 기존 세션 ID는 파기될 경우 - 취약 : 로그인 세션 ID가 고정 사용되거나 새로운 세션ID 생성 로직 구현하고 기존 세션 ID는 파기함 조치 방법 - 사용자가 로그인 할 때마다 예측 불가능한 새로운 세션ID가 발급되고, 기존 세션 ID는 파기 점검 방법 Step 1) 로그인 시 세션 I..

원문보기 내부링크
Tistory

[리눅스/계정관리] 관리자 그룹에 최소한의 계정 포함 (U-50)

관리자 그룹에 최소한의 계정 포함 취약점 개요 위험도 - 하 점검 목적 - 관리자 그룹에 최소한의 계정만 존재하는지 점검하여 불필요하게 권한이 남 용되고 있는지 확인하기 위함 보안 위협 - 시스템을 관리하는 root 계정이 속한 그룹은 시스템 운영 파일에 대한 접근 권한이 부여되어 있으므로 해당 관리자 그룹에 속한 계정이 비인가자에게 유출될 경우 관리자 권한으로 시스템에 접근하여 계정 정보 유출, 환경설정 파일 및 디렉터리 변조 등의 위협이 존재함 점검 및 조치 방법 판단 기준 - 양호 : 관리자 그룹에 불필요한 계정이 등록되어 있지 않은 경우 - 취약 : 관리자 그룹에 불필요한 계정이 등록되어 있는 경우 조치 방법 - 현재 등록된 계정 현황 확인 후 불필요한 계정 삭제 점검 및 조..

원문보기 내부링크
Tistory

[실시간] 오늘의 급상승 인기검색어 순위 및 리스트

네이버 실시간 검색어가 폐지되면서 실시간 인기검색어, 급상승 인기검색어가 필요하신 분들을 위해서 준비했습니다. 실시간 인기검색어 보는 곳 구글 인기검색어 텔레그램 인기검색어방 https://t.me/searchtrends_bot 다른 실시간 인기 검색어 보는 방법 구글트렌드, 네이버, 네이트, 블랙키위, 줌 [정보, 꿀팁(info)] - [업데이트] 실시간 인기검색어 볼 수 있는 사이트 목록 모음 / 네이버 인기검색어 [업데이트] 실시간 인기검색어 볼 수 있는 사이트 목록 모음 / 네이버 인기검색어 실시간 인기검색어 대체 사이트 목록 모음 안녕하세요 오늘은 실시간 인기검색어를 볼 수 있는 사이트 목록을 알려드리겠습니다 우리나라의 양대 검색포털인 다음과 네이버에서 다음은 2020년 2 coconuts.ti..

원문보기 내부링크
Tistory

[보안장비/로그관리] 보안장비 로그 보관 (S-20)

보안장비 로그 보관 취약점 개요 위험도 - 중 점검 목적 - 로그 보관 설정을 점검하여 로그 검토나 보안장비 침해 사고 원인 분석에 필요한 (3개월 이상) 로그를 안전(삭제, 변경 불가)하게 보관하는지 확인하기 위함 보안 위협 - 로그 보관 기간이 적용되어 있지 않은 경우 보안장비에서 로그를 자동으로 삭제하여 로그 검토나 보안장비 침해사고 원인 분석 시 필요한 로그가 남아 있지 않아 로그 검토나 사고 원인 분석이 어려워질 수 있음 점검 및 조치 방법 판단 기준 - 양호 : 정책에 따라 로그 보관 설정이 되어있는 경우 - 취약 : 로그 보관 정책이 없고, 관리되고 있지 않는 경우 조치 방법 보안장비 로그 보관 설정에서 로그 저장기간 확인 및 변경 (별도의 장비에 보관하고 있다면 로그 보관..

원문보기 내부링크
Tistory

해외직구 상품 주문 시 개인통관고유번호 조회 및 발급 받는 방법

해외에서 직구를 하면 가격이 싼 물건들이 많아서 해외 배송을 이용하는 경우가 종종 있습니다. 예전에는 그냥 배송만 요청하면 받는게 가능했지만 2014년 8월7일에 개인정보보호법이 개정되면서 해외의 물건이 우리나라로 들어오려면 개개인을 식별할 수 있도록 개인통관고유번호가 필요합니다. 오늘은 개인통관 고유번호를 발급받고 조회하는 방법에 대해서 알아보겠습니다. 개인통관고유번호 발급방법 먼저 아래에서 UNI-PASS 홈페이지로 들어와 줍니다. 그리고 이미 발급 이력이 있으신 분들은 조회를 누르면 되시고 처음이시라면 신규발급을 눌러주시면 됩니다. 이미 유니패스에서도 해외직구를 많이 하는 것을 알고 해외직구가 처음이신가요? 라는 메시지를 넣어두었네요 관세청 개인통관고유부호 "개인통관고유부호발급"은 간단한 본인인증 ..

원문보기 내부링크
Tistory

[리눅스/계정관리] 불필요한 계정 제거 (U-49)

불필요한 계정 제거 취약점 개요 위험도 - 하 점검 목적 - 불필요한 계정이 존재하는지 점검하여 관리되지 않은 계정에 의한 침입에 대비하는지 확인하기 위함 보안 위협 - 로그인이 가능하고 현재 사용하지 않는 불필요한 계정은 사용중인 계정보다 상대적으로 관리가 취약하여 공격자의 목표가 되어 계정이 탈취될 수 있음 ※ 퇴직, 전직, 휴직 등의 사유발생시 즉시 권한을 회수 점검 및 조치 방법 판단 기준 - 양호 : 불필요한 계정이 존재하지 않는 경우 - 취약 : 불필요한 계정이 존재하는 경우 조치 방법 - 현재 등록된 계정 현황 확인 후 불필요한 계정 삭제 점검 및 조치 사례 SOLARIS, LINUX, HP-UX Step 1) 서버에 등록된 불필요한 사용자 계정 확인 Step 2) ..

원문보기 내부링크
Tistory

아이허브 iHerb 영양제 해외직구 사이트 가입방법

나우푸드, 닥터스 베스트, 프로바이오틱스 등 해외의 영양제를 구매하시려면 우리나라에서는 어려운 경우가 많습니다. 그래서 영양제 같은 경우는 해외 직구를 이용하게 되는데요, 영양제 사이트로는 아이허브가 가장 유명할 것 같아요 오늘은 아이허브를 가입하고 구매할 때 할인받을 수 있는 리워드코드, 추천 코드, 할인코드를 알려드리겠습니다. 아이허브는 미국에 있는 종합 영양제 마켓입니다. 장점으로는 적립금 서비스가 있고 세일도 자주하는 편입니다. 웬만한 유명 영양제 브랜드는 다 찾아볼 수 있습니다. 아래의 링크에서 아이허브 사이트로 이동할 수 있습니다. 아이허브 사이트 : https://iherb.co/bqVG2UK 추천 코드 : BCJ9900 구매하실 때 추천 코드를 입력하시면 5% 할인을 받으실 수 있으니, 손..

원문보기 내부링크
Tistory

[리눅스/계정관리] 패스워드 최소 사용기간 설정 (U-48)

패스워드 최소 사용기간 설정 취약점 개요 위험도 - 중 점검 목적 - 사용자가 자주 패스워드를 변경할 수 없도록 하고 관련 설정(최근 암호 기 억)과 함께 시스템에 적용하여 패스워드 변경 전에 사용했던 패스워드를 재 사용 할 수 없도록 방지하는지 확인하기 위함 보안 위협 - ※ 최소 사용기간이 설정되어 있지 않아 반복적으로 즉시 변경이 가능한 경 우 이전 패스워드 기억 횟수를 설정하여도 반복적으로 즉시 변경하여 이전 패스워드로 설정이 가능함 점검 및 조치 방법 판단 기준 - 양호 : 패스워드 최소 사용기간이 1일 이상 설정되어 있는 경우 - 취약 : 패스워드 최소 사용기간이 설정되어 있지 않는 경우 조치 방법 - 패스워드 정책 설정파일을 수정하여 패스워드 최소 사용기간을 1일(1주)로 ..

원문보기 내부링크
Tistory

구글에서 내 글 검색되게 하기 url 등록하는 방법

내 블로그를 구글에 검색 노출시키기 위해서는 수동으로 등록하는 것이 필요합니다. 구글의 로봇이 돌아다니면서 크롤링해 갈 수 있지만 더 빠르고 정확하게 노출되게 하기 위해서 구글 서치 콘솔에 내 블로그를 등록하고 URL을 Google에 등록해 주는 것이 필요합니다. 글을 등록하려고 내 글을 검색해 보거나 서치콘솔에 확인을 해 보았는데 URL이 Google에 등록되어 있지 않음 이런 메시지가 뜨면서 내 글 색인이 생성되어 있지 않았다는 메시지를 보실 수도 있습니다. 이럴 경우 구글이 내 글을 가져갈 수 있도록 색인 등록을 해주어야 합니다. 내 글 URL 구글에 등록하기 먼저 구글 서치 콘솔에 내 블로그를 등록해 주어야 합니다. 그리고 나서 글의 URL을 서치 콘솔 검색창에 입력해 주세요 그러면 구글에서 색인..

원문보기 내부링크
Tistory

[윈도우/패치 관리] 최신 HOT FIX 적용 (W-32)

최신 HOT FIX 적용 취약점 개요 위험도 - 상 점검 목적 - 최신 Hot Fix를 설치하여 시스템 및 응용프로그램의 취약성을 제거하기 위함 보안 위협 - 최신 Hot Fix가 즉시 적용되지 않은 경우 알려진 취약성으로 인한 시스템 공격 가능성 존재 점검 및 조치 방법 판단 기준 - 양호 : 최신 Hotfix가 있는지 주기적으로 모니터링하고 반영하거나, PMS (Patch Management System) Agent가 설치되어 자동패치배포가 적용된 경우 - 취약 : 최신 Hotfix가 있는지 주기적으로 모니터 절차가 없거나, 최신 Hotfix를 반 영하지 않은 경우, 또한 PMS(Patch Management System) Agent가 설치되 어 있지 않거나, 설치되어 있으나 자동패치배..

원문보기 내부링크
Tistory

[네트워크장비/접근 관리] VTY 접속 시 안전한 프로토콜 사용 (N-16)

VTY 접속 시 안전한 프로토콜 사용 취약점 개요 위험도 - 중 점검 목적 - 암호화 프로토콜을 이용한 터미널 접근만 허용하도록 설정되어 있는지 점검 하여 네트워크 터미널 접근 시 전송되는 데이터의 스니핑 공격에 대한 대비 가 되어 있는지 확인하기 위함 보안 위협 - 암호화 프로토콜이 아닌 평문 프로토콜(telnet)을 이용하여 네트워크 장비에 접근할 경우, 네트워크 스니핑 공격에 의해 관리자 계정 정보(계정, 패스워 드)가 비인가자에게 유출될 위험이 존재함 점검 및 조치 방법 판단 기준 - 양호 : 장비 정책에 VTY 접근 시 암호화 프로토콜(ssh) 이용한 접근만 허용하고 있는 경우 - 취약 : 장비 정책에 VTY 접근 시 평문 프로토콜(telnet) 이용한 접근을 허용하고 있는 경우 ..

원문보기 내부링크
Tistory

[보안장비/로그관리] 보안장비 로그 설정 (S-19)

보안장비 로그 설정 취약점 개요 위험도 - 중 점검 목적 - 정기적으로 로그 검토를 이행하는지 점검하여 보안장비의 이상 유무와 비인 가자의 공격 및 침입을 식별하고 있는지 확인하기 위함 보안 위협 - 로그 검토를 이행하지 않을 경우 보안장비에 이상이 발생했을 경우와 보안장비 및 보안장비에 의해 보호받고 있는 정보시스템에 침해 사고가 발생했을 경우 원인 식별이 어려워지고 사전에 탐지할 수 없 점검 및 조치 방법 판단 기준 - 양호 : 로그 검토를 정기적으로 이행하는 경우 - 취약 : 로그 검토를 정기적으로 이행하지 않는 경우 조치 방법 - 보안장비 로그를 정기적으로 분석 및 검토 실시 점검 방법 Step 1) 보안장비의 로그를 정기적으로 분석하고 검토하는지 확인(정기점검보고서, 검토보..

원문보기 내부링크
Tistory

[네트워크장비/계정 관리] 사용자·명령어별 권한 수준 설정 (N-15)

사용자·명령어별 권한 수준 설정 취약점 개요 위험도 - 중 점검 목적 - 업무에 따라 계정 별 권한이 차등 부여되어 있는지 점검하여 계정 별 권한 에 따라 장비의 사용 및 설정 가능한 기능을 제한하는지 확인하기 위함 보안 위협 - 계정 별 권한이 차등 부여되어 있지 않은 경우, 일반 계정으로 장비의 모든 기능을 제어할 수 있어 일반 계정이 비인가자에 노출되었을 때 비인가자가 획득한 계정 정보를 통해 네트워크 장비에 접근하여 장비의 설정(ACL) 변경, 삭제 등의 행위를 하여 장비의 가용성(해당 장비를 통해 통신하는 정보시스 템 간 데이터 전송 불가)저하 문제가 발생할 위험이 존재함 점검 및 조치 방법 판단 기준 - 양호 : 업무에 맞게 계정의 권한이 차등 부여 되어있을 경우 - 취약 : 업..

원문보기 내부링크
Tistory

[리눅스/계정관리] 패스워드 최대 사용기간 설정 (U-47)

패스워드 최대 사용기간 설정 취약점 개요 위험도 - 중 점검 목적 - 패스워드 최대 사용 기간 설정이 적용되어 있는지 점검하여 시스템 정책에 서 사용자 계정의 장기간 패스워드 사용을 방지하고 있는지 확인하기 위함 보안 위협 - 패스워드 최대 사용기간을 설정하지 않은 경우 비인가자의 각종 공격(무작 위 대입 공격, 사전 대입 공격 등)을 시도할 수 있는 기간 제한이 없으므로 공격자 입장에서는 장기적인 공격을 시행할 수 있어 시행한 기간에 비례하 여 사용자 패스워드가 유출될 수 있는 확률이 증가함 점검 및 조치 방법 판단 기준 - 양호 : 패스워드 최대 사용기간이 90일(12주) 이하로 설정되어 있는 경우 - 취약 : 패스워드 최대 사용기간이 90일(12주) 이하로 설정되어 있지 않는 경우 ..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] RDS(Remote Data Services) 제거 (W-30)

RDS(Remote Data Services) 제거 취약점 개요 위험도 - 상 점검 목적 - 취약한 RDS 서비스를 제거하여 불법적인 원격 공격을 차단하기 위함 보안 위협 - 취약한 플랫폼의 RDS가 사용되는 경우 서비스 거부 공격이나 원격에서 관리자 권한으로 임의의 명령을 실행할 수 있는 위험이 존재함 점검 및 조치 방법 판단 기준 - 양호 : 다음 중 한 가지라도 해당되는 경우(2008 이상 양호) 1. IIS를 사용하지 않는경우 2. Windows 2000 서비스팩 4, Windows 2003 서비스팩 2 이상 설치되어 있는 경우 3. 디폴트 웹 사이트에 MSADC 가상 디렉토리가 존재하지 않는 경우 4. 해당 레지스트리 값이 존재하지 않는 경우 - 취약 : 양호 기준에 한 가지도 해..

원문보기 내부링크
Tistory

앤프로2 포커배열 키보드 추천 및 후기 타건영상(게이트론 갈축)

저는 평소에 CK87을 사용하고 있는데요 마침 앤프로2를 사용해볼 기회가 있어서 사용 후기를 알려드리려고 합니다. (유료 광고는 아니예요) 앤프로2는 많은 유튜버들이 사용중이예요, IT 유튜버 잇섭님도 이 제품을 리뷰하고 극찬한 적도 있죠 평소에 사용하는 것은 콕스의 CK87 황축입니다. 텐키리스와 블루투스로 맥북에서 사용하고 있어요, 충전이 귀찮아서 그냥 유선으로 사용합니다. 하지만 블루투스가 되는데 안쓰는 거랑 아예 없는 거랑 하늘과 땅차이인 것 같아요 마치 자동차 컨버터블이 가능하지만 열지 않는 것과 비슷한? 경우라고 할 수 있습니다. 구성품 앤프로2 키보드 본체, C to USB 케이블, 키캡 11개, 키 리무버 이렇게 구성되어 있습니다. 특별한 것은 키캡을 제공해주는 것인데요 저는 개인적으로 흰..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] 최신 서비스팩 적용 (W-31)

최신 서비스팩 적용 취약점 개요 위험도 - 상 점검 목적 - 시스템을 최신 버전으로 유지하여 새로운 위협 및 진행 중인 위협으로부터 중요 정보와 시스템을 보호하기 위함 보안 위협 - 보안 업데이트를 적용하지 않은 경우 시스템 및 응용프로그램의 취약성으로 인해 권한 상승, 원격 코드 실행, 보안 기능 우회 등의 문제를 일으킬 수 있음 점검 및 조치 방법 판단 기준 - 양호 : 최신 서비스팩이 설치되어 있으며 적용 절차 및 방법이 수립된 경우 - 취약 : 최신 서비스팩이 설치되지 않거나, 적용 절차 및 방법이 수립되지 않은 경우 조치 방법 - 설치에 따른 영향도 확인 후 최신 서비스팩 설치(설치 후 시스템 재시작 필요) 점검 및 조치 사례 Windows NT, 2000, 2003, ..

원문보기 내부링크
Tistory

개정전 개인정보보호법, 정보통신망법의 고유식별번호와 주요정보

개인정보보호법과 정보통신망법에는 어떠한 정보들이 들어가 있는지에 대해서 알아보겠습니다. 개인정보를 식별할 때에는 고유한 식별 번호가 필요합니다. 개인을 알아볼 수 있는 정보입니다. 해당 정보의 경우 약관 등에서 수집 항목, 이용 목적, 보유 및 이용 기간, 수집 거부 시에 생기는 불이익에 관련해서 명시되어 있어야 합니다. 또한 개인정보보호법과 정보통신망법 상의 대략 7가지의 주요 정보들은 암호화하여 저장하는 것이 원칙입니다. 개인정보보호법상 고유식별정보 주민번호, 여권번호, 운전면허번호, 외국인등록번호 정보통신망법상 주요정보 계좌번호, 신용카드번호 및 바이오정보 현재는 데이터 3법을 통해서 개인정보보호법 정보통신망법 신용정보법 세가지의 개인정보보호 소관 부처를 하나로 모아 중복 규제를 없애고 개인과 기업..

원문보기 내부링크
Tistory

[네트워크장비/기능 관리] 사용하지 않는 인터페이스의 Shutdown 설정 (N-14)

사용하지 않는 인터페이스의 Shutdown 설정 취약점 개요 위험도 - 상 점검 목적 - 필요한 인터페이스만 활성화하여 비인가자가 사용하지 않는 인터페이스를 통하여 네트워크에 접근하는 것을 차단하기 위함 보안 위협 - 사용하지 않는 포트에 연결된 인터페이스를 Shutdown 하지 않을 경우, 물 리적인 내부 접근을 통해 비인가자의 불법적인 네트워크 접근이 가능하게 되며 이로 인하여 네트워크 정보 유출 및 네트워크 손상이 발생할 수 있음 점검 및 조치 방법 판단 기준 - 양호 : 사용하지 않는 인터페이스를 비활성화한 경우 - 취약 : 사용하지 않는 인터페이스를 비활성화하지 않은 경우 조치 방법 네트워크 장비에서 사용하지 않는 모든 인터페이스를 비활성화 설정 장비별 점검 방법 예시 ㆍ ..

원문보기 내부링크
Tistory

[리눅스/계정관리] 패스워드 최소 길이 설정 (U-46)

패스워드 최소 길이 설정 취약점 개요 위험도 - 중 점검 목적 - 패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스워드 길이로 발생하는 취약점을 이용한 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비(사용자 패스워드 유출)가 되어 있는지 확인하기 위함 보안 위협 - 패스워드 최소 길이 설정이 적용되어 있지 않을 경우 비인가자의 각종 공격(무작위 대입 공격, 사전 대입 공격 등)에 취약하여 사용자 계정 패스워드 유출 유려가 있음 점검 및 조치 방법 판단 기준 - 양호 : 패스워드 최소 길이가 8자 이상으로 설정되어 있는 경우(공공기관의 경우 9자리 이상) - 취약 : 패스워드 최소 길이가 8자 미만으로 설정되어 있는 경우(공공기관의 경우 9자리 미만) ..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] RDS(Remote Data Services) 제거 (W-30)

RDS(Remote Data Services) 제거 취약점 개요 위험도 - 상 점검 목적 - 취약한 RDS 서비스를 제거하여 불법적인 원격 공격을 차단하기 위함 보안 위협 - 취약한 플랫폼의 RDS가 사용되는 경우 서비스 거부 공격이나 원격에서 관리자 권한으로 임의의 명령을 실행할 수 있는 위험이 존재함 점검 및 조치 방법 판단 기준 - 양호 : 다음 중 한 가지라도 해당되는 경우(2008 이상 양호) 1. IIS를 사용하지 않는경우 2. Windows 2000 서비스팩 4, Windows 2003 서비스팩 2 이상 설치되어 있는 경우 3. 디폴트 웹 사이트에 MSADC 가상 디렉토리가 존재하지 않는 경우 4. 해당 레지스트리 값이 존재하지 않는 경우 - 취약 : 양호 기준에 한 가지도 해..

원문보기 내부링크
Tistory

[보안장비/로그관리] 보안장비 로그 설정 (S-18)

보안장비 로그 설정 취약점 개요 위험도 - 중 점검 목적 - 로그 설정을 점검하여 보안장비의 이상 유무와 보안장비 및 보안장비에 의해 보호받고 있는 정보시스템에 대한 비인가자의 침입 및 공격을 식별하고 있는지 확인하기 위함 보안 위협 - 로그 설정이 적용되어 있지 않을 경우 보안장비에 장애가 발생하거나 침해사고가 발생했을 경우 원인 분석이 어려움 점검 및 조치 방법 판단 기준 - 양호 : 기관 정책에 따른 로그 설정이 되어있는 경우 - 취약 : 기관 정책에 따른 로그 설정이 되어있지 않은 경우 조치 방법 - 기관 정책에 따른 로깅 설정 점검 방법 Step 1) 보안장비의 로그 설정 메뉴 확인 설정 방법 Step 1) 기관 정책에 따른 로깅 설정 (각 벤더별 설정 방법이 상이함) ..

원문보기 내부링크
Tistory

인스타그램 PC버전 사진올리기 가장 쉬운 방법

사진이나 영상을 공유할 때 SNS에 공유를 많이들 하시는데 그 중 인스타그램을 가장 많이 이용하실 거예요, 하지만 인스타그램을 사용하려면 핸드폰을 이용해서 업로드를 하셨어야 했을텐데 PC에서도 사진을 올릴 수 있는 방법이 있어서 공유드리려고 해요 이 방법을 이용해서 이제는 컴퓨터에서 인스타그램을 보기만 하시지 마시고 올릴 수 있는 사진은 올려보도록 합시다! 먼저 chrome 브라우저가 설치 되어 있어야 합니다. 크롬의 확장 프로그램을 이용해서 할 것이기 때문이예요 그리고 확장 프로그램 chrome 웹 스토어로 들어가 줍니다. 설정에서도 들어갈 수 있고 아래의 링크에서도 들어갈 수 있습니다. https://chrome.google.com/webstore/category/extensions?hl=ko& Ch..

원문보기 내부링크
Tistory

[보안장비/기능관리] 로그인 실패횟수 제한 (S-17)

로그인 실패횟수 제한 취약점 개요 위험도 - 중 점검 목적 - 보안장비에서 제공하는 로그인 실패횟수 제한 기능을 사용하여 공격자의 자동화 툴을 이용한 패스워드 대입 공격을 막기 위함 보안 위협 - 로그인 실패횟수 제한 기능을 활성화 하여 사용하지 않을 경우, 공격자는 자동화된 방법을 통하여 무작위 대입 공격이나 사전 대입 공격 등을 시도하여 계정의 패스워드를 탈취할 수 있음 점검 및 조치 방법 판단 기준 - 양호 : SNMP 서비스를 사용하지 않거나, 유추하기 어려운 community string을 설정한 경우 - 취약 : 디폴트 community string을 변경하지 않거나, 유추하기 쉬운 community string을 설정한 경우 조치 방법 - 유추하기 어려운 community ..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] DNS Zone Transfer 설정 (W-29)

DNS Zone Transfer 설정 취약점 개요 위험도 - 상 점검 목적 - DNS Zone Transfer 차단 설정을 적용하여 도메인 정보의 불법 외부 유출을 막고자 함 보안 위협 - DNS Zone Transfer 차단 설정이 적용되지 않은 경우 DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS 서버가 아닌 외부로 유출 위험 존재 점검 및 조치 방법 판단 기준 - 양호 : 아래 기준에 해당될 경우 1) DNS 서비스를 사용 않는 경우 2) 영역 전송 허용을 하지 않는 경우 3) 특정 서버로만 설정이 되어 있는 경우 - 취약 : 위 3개 기준 중 하나라도 해당 되지 않는 경우 조치 방법 - 불필요 시 서비스 중지/사용 안 함, 사용하는 경우 영역 전송을 특정 서버로 제한하거..

원문보기 내부링크
Tistory

1분만에 윈도우10 무료 정품인증 방법 / 윈도우 크랙 인증 방법 / Windows10 무료인증 받기

안녕하세요 윈도우 10 무료로 KMSAuto 툴을 이용해서 정품인증 하는 방법에 대해서 알려드리겠습니다. 윈도우10은 ISO 파일을 이용해서 사용자가 마이크로소프트 홈페이지에서 파일을 다운받아서 설치를 할 수 있습니다. 하지만 윈도우의 여러 기능들을 이용하려면 정품인증이 필요합니다. 대표적인 예로 바탕화면 우측 하단에 윈도우10 정품인증이 되지 않았다는 워터마크가 찍히게 됩니다. 이 방법이 정식적인 방법은 아니며 인증은 언제든지 해제될 수 있습니다. 먼저 KMSAuto 라는 툴을 다운로드 해 주셔야 합니다. KMSAuto 사이트에서 받으실 수 있습니다. http://www.kmsauto.info/ The KMS Auto Net Activator 2021 Official About KMS Auto Net..

원문보기 내부링크
Tistory

[보안장비/기능관리] SNMP Community String 복잡성 설정 (S-16)

SNMP Community String 복잡성 설정 취약점 개요 위험도 - 상 점검 목적 - SNMP Community String 을 유추하기 어렵도록 설정하여 네트워크상에서 시스템 정보가 비인가자에게 노출되지 않도록 함 보안 위협 • SNMP의 Public, Private과 같은 디폴트 Community String이 변경되지 않고 그대로 사용될 경우, 악의적인 사용자가 장비 설정을 쉽게 변경(RW)하여 중요 시스템 정보가 노출될 수 있는 위험이 존재함 점검 및 조치 방법 판단 기준 • 양호 : SNMP 서비스를 사용하지 않거나, 유추하기 어려운 community string을 설정한 경우 • 취약 : 디폴트 community string을 변경하지 않거나, 유추하기 쉬운 communi..

원문보기 내부링크
Tistory

[리눅스/계정관리] root 계정 su 제한 (U-45)

root 계정 su 제한 취약점 개요 위험도 - 하 점검 목적 - su 관련 그룹만 su 명령어 사용 권한이 부여되어 있는지 점검하여 su 그룹에 포함되지 않은 일반 사용자의 su 명령 사용을 원천적으로 차단하는지 확인하기 위함 보안 위협 - su 명령어를 모든 사용자가 사용하도록 설정되어 있는 경우 root 계정 권한을 얻기 위해 패스워드 무작위 공격(Brute Force Attack) 이나 패스워드 추측 공격(Password Guessing)을 시도하여 root 계정 패스워드가 유출될 위협이 있음 점검 및 조치 방법 판단 기준 - 양호 : su 명령어를 특정 그룹에 속한 사용자만 사용하도록 제한되어 있는 경우 - 취약 : su 명령어를 모든 사용자가 사용하도록 설정되어 있는 경우 조..

원문보기 내부링크
Tistory

[인스타] 코로나를 이겨낼 해시태그 모음

코로나 관련 해시태그 모음 코로나 #코로나 #코로나19 #코로나백신 #코로나검사 #보건소 #확산 #마스크 #지역 #정부 #사태 #확진자 #감염 #방문 #방역 #조치 #안전 #대책 #사회적 #거리두기 #코로나라이브 #코로나4단계 #코로나3단계 #19코로나 #19코로나확진자 #바이러스 백신 #백신 #백신접종 #백신예약 #백신후기 #백신예약성공 #백신부작용 #백신사전예약 #아스트라제네카 #얀센 #화이자 #모더나 #백신검사 #검사시간 #검사결과 #백신10부제 #50대코로나백신예약 #주의사항 #예약사이트 #예약 #사이트 #백신종류 #음주 이겨내기 #코로나예방 #코로나물러가라 #코로나극복 #코로나백신 #집단면역 #면역력 #면역젤리 #면역력강화 #면역력증진 #면역력키우기 #예방접종센터 #예방주사 #전신소독기 #소독 ..

원문보기 내부링크
Tistory

[클라우드/접근통제] 클라우드 서비스 로그오프/세션 관리 (CA-01)

클라우드 서비스 로그오프/세션 관리 취약점 개요 위험도 - 중 점검 목적 - 세션 타임아웃 기능을 구현하여 공격자가 만료되지 않은 세션 활용을 방지하기 위함 보안 위협 - 세션의 만료 기간을 정하지 않거나, 만료기한이 너무 길게 설정된 경우 악의 적인 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근을 시도할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 웹 콘솔 및 사용자 Shell Session Timeout 설정이 600초(10분) 이하로 설정되어 있는 경우 - 취약 : 웹 콘솔 및 사용자 Shell Timeout 설정이 600초(10분)를 초과하여 설정 되어 있는 경우 조치 방법 - 600초(10분) 동안 입력이 없을 경우 접속된 클라이언트 세션을 끊도록 설정 ..

원문보기 내부링크
Tistory

[Web] 불충분한 세션 만료 (SC)

불충분한 세션 만료 취약점 개요 위험도 - 상 점검 목적 - 세션 타임아웃 기능을 구현하여 공격자가 만료되지 않은 세션 활용을 방지하기 ㅣ함 보안 위협 - 세션 만료 기간을 정하지 않거나, 만료기한을 너무 길게 설정된 경우 악의적 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근이 가능할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 세션 종료 시간이 설정되어 있는 경우 - 취약 : 세션 종료 시간이 설정되어 있지 않아 세션 재사용이 가능한 경우 조치 방법 - 세션 종료 시간 설정 또는 자동 로그아웃 기능 구현(세션 종료 시간은 사이트의 특성에 따라 달라질 수 있으므로 사이트의 특성에 맞게 적정 시간 설정) 점검 방법 Step 1) 인증 후 정상적으로 세션이 발행된..

원문보기 내부링크
Tistory

티스토리 HTML 태그란 무엇인가?

티스토리 HTML 태그란 무엇인가? a 태그 p 태그 등 티스토리 같은 블로그를 처음 시작하신 분들은 잘 모를 수 있는 내용입니다. HTML은 쉽게 말하면 컴퓨터가 알아들을 수 있는 언어로 문서나 웹페이지를 만드는 것을 말합니다. 파이썬 C언어 등 수 많은 컴퓨터 언어 중 하나입니다. 우선은 HTML CSS Javascript 이 세가지를 이해하고 넘어가셔야 합니다. 이 세가지가 우리의 블로그를 구성하고 있는 3가지 프로그래밍, 컴퓨터 언어입니다. HTML : 텍스트, 문서 작성 CSS : 스타일, 폼, 폰트크기, 색상 등 Javascript : 외부 자료 애드센스 블로그에서 사용할 때 크게는 3가지 부류로 나누어질 수 있지만 처음에는 HTML만 이해하시고 넘어가셔도 아무 문제없습니다. 애드센스 또한 H..

원문보기 내부링크
Tistory

[보안장비/기능관리] SNMP 서비스 확인 (S-15)

SNMP 서비스 확인 008F1E 취약점 개요 위험도 - 상 점검 목적 - 보안장비 관리를 위해 NMS 솔루션과의 연동으로 SNMP 서비스 사용이 필 요한 경우가 아니라면 서비스를 중지하도록 함 보안 위협 - UDP 프로토콜을 사용하는 SNMP 서비스를 활성화 할 경우 DoS공격, 보안 장비 성능 저하, 크래쉬, 리로드 등의 여러 공격에 취약할 수 있음 점검 및 조치 방법 판단 기준 - 양호 : SNMP 서비스를 불필요하게 사용하지 않는 경우 - 취약 : SNMP 서비스를 불필요하게 사용할 경우 조치 방법 - 불필요한 경우 SNMP 서비스 중지 점검 방법 Step 1) 보안장비의 SNMP 설정 메뉴에서 확인 설정 방법 Step 1) 불필요하다면 SNMP 서비스를 중지하고, 관리를..

원문보기 내부링크
Tistory

[네트워크장비/기능 관리] DDoS 공격 방어 설정 (N-13)

DDoS 공격 방어 설정 취약점 개요 위험도 - 상 점검 목적 - 네트워크 장비 또는 DDoS 대응장비에 DDoS 공격 방어 설정을 적용하여 DDoS 공격 발생 시 피해를 최소화 보안 위협 - DDoS공격으로 인해 사용 가능한 네트워크 및 시스템 리소스 속도가 느려지 거나 서버가 손상 될 수 있음 점검 및 조치 방법 판단 기준 - 양호 : 경계 라우터에서 DDoS 공격 방어 설정을 하거나 DDoS 대응장비를 사 용하는 경우 - 취약 : 경계 라우터에서 DDoS 공격 방어 설정을 하지 않거나 DDoS 대응장비 를 사용하지 않는 경우 조치 방법 DDoS 공격 방어 설정 점검 장비별 점검 방법 예시 ㆍCISCO IOS Router# show running DDoS 방어 설정 요소 확인 ㆍ..

원문보기 내부링크
Tistory

[리눅스/계정관리] root 이외의 UID가 '0' 금지 (U-44)

root 이외의 UID가 '0' 금지 취약점 개요 위험도 - 중 점검 목적 - root 계정과 동일한 UID가 존재하는지 점검하여 root 권한이 일반 사용자 계정이나 비인가자의 접근 위협에 안전하게 보호되고 있는지 확인하기 위함 보안 위협 - root 계정과 동일한 UID가 존재하여 비인가자에 노출되었을 경우 root 계정 권한과 동일한 권한으로 시스템에 로그인 하여 시스템 계정 정보 유출, 환경설정 파일 및 디렉토리 변조 및 삭제 등의 행위를 하여 시스템 가용성(서비스 다운, 악성코드 유포지 감염)에 영향을 미칠 수 있는 위협이 존재함 - root와 동일한 UID를 사용하므로 사용자 감사 추적 시 어려움이 발생함 점검 및 조치 방법 판단 기준 - 양호 : root 계정과 동일한 UID를..

원문보기 내부링크
Tistory

[보안장비/기능관리] 장비 사용량 검토 (S-14)

장비 사용량 검토 취약점 개요 위험도 - 상 점검 목적 - 보안장비의 가용성에 대한 검토로 인해 네트워크 트래픽의 수준을 파악하게 되고, 그에 따른 사용성 향상을 고려할 수 있음 보안 위협 - 정기적으로 가용성에 대한 점검 및 검토를 하지 않을 경우, 성능 및 회선 상태를 파악할 수 없어 보안장비의 가용성 하락이 발생할 가능성이 존재함 점검 및 조치 방법 판단 기준 - 양호 : 보안장비 가용성을 정기적으로 모니터링 및 검토할 경우 - 취약 : 보안장비 가용성을 정기적으로 모니터링 및 검토하지 않을 경우 조치 방법 - 장비 사용량을 정기적으로 모니터링 점검 방법 Step 1) 보안장비 사용량에 대해 정기적인 모니터링 및 검토 여부 확인 설정 방법 Step 1) 보안장비의 Web D..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] FTP 접근 제어 설정 (W-28)

FTP 접근 제어 설정 취약점 개요 위험도 - 상 점검 목적 - FTP 접근 시 특정 IP 주소에 대해 콘텐츠 액세스를 허용하여 서비스 보안성을 강화하고자 함 보안 위협 - FTP 프로토콜은 로그온에 지정된 자격 증명이나 데이터 자체가 암호화 되지 않고 모든 자격 증명을 일반 텍스트로 네트워크를 통해 전송되는 특성상 서버 클라이언트간 트래픽 스니핑을 통해 인증정보가 쉽게 노출되므로 접속 허용된 사용자 IP를 지정하여 접속자를 제한할 것을 권고 점검 및 조치 방법 판단 기준 - 양호 : 특정 IP주소에서만 FTP 서버에 접속하도록 접근제어 설정이 적용한 경우 - 취약 : 특정 IP주소에서만 FTP 서버에 접속하도록 접근제어 설정을 적용하지 않은 경우 조치 방법 - 특정 IP주소에서만 FT..

원문보기 내부링크
Tistory

티스토리 Yandex 웹마스터 등록 방법 - 티스토리 방문자 유입 늘리는 방법

티스토리 Yandex 웹마스터 등록하여 방문자 유입을 늘리는 방법을 알아보겠습니다. 얀덱스는 러시아의 프로그래머 일리야 세갈로비치가 설립한 검색엔진 사이트입니다. 러시아에서는 네이버와 같은 급의 포털사이트로 글로벌시장에서 우크라이나, 벨라루스, 카자흐스탄 등에서 서비스를 운영 중에 있는 큰 검색엔진 사이트 입니다. 이런 러시아의 큰 검색엔진에도 티스토리 블로그를 웹마스터에 등록하여 검색 사이트에 노출시킬 수 있는데 방법을 알려드리도록 하겠습니다. 먼저 얀덱스 웹마스터 사이트로 들어와서 가입을 해주셔야 합니다. 얀덱스에 가입할 때는 전화번호 없이 가입이 가능합니다. 하지만 번호를 기입하지 않으면 나중에 갑자기 해킹당했다고 경고 메시지가 나올 수 있으니 참고해서 가입하시면 됩니다. 현재 얀덱스의 매출은 연마..

원문보기 내부링크
Tistory

HTML 태그의 종류 - A to Z

HTML 을 사용하실 때 태그의 종류와 그 용도에 대해서 알아보겠습니다. HTML은 홈페이지, 사이트 뿐만 아니라 티스토리나 블로그스팟, 워드 프레스 등의 블로그 사이트에서도 많이 활용되고 있는 웹 코딩 언어라서 알아두시면 좋습니다. HTML은 다른 언어들에 비해 훨씬 직관적이고 상대적으로 쉽기 때문에 초보자분들도 쉽고 재밌게 배울 수 있습니다. 처음엔 어렵게 느껴지실 수 있으나 배우고자하면 빠르게 배울 수 있는 언어이므로 무서워하지마시고 도전하시길 바랍니다. HTML이란? HTML란 하이퍼텍스트 마크업 언어(HyperText Markup Language)라는 의미의 웹 페이지 작성을 위한 언어입니다. 웹 페이지 콘텐츠 안의 꺾쇠괄호에 둘러싸인 "태그"로 되어있는 HTML 요소 형태로 작성합니다. HTM..

원문보기 내부링크
Tistory

[리눅스/로그관리] 로그의 정기적 검토 및 보고 (U-43)

로그의 정기적 검토 및 보고 취약점 개요 위험도 - 상 점검 목적 - 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부를 파악하기 위함 보안 위협 - 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움 점검 및 조치 방법 판단 기준 - 양호 : 접속기록 등의 보안로그, 응용 프로그램 및 시스템 로그 기록에 대한 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어지는 경우 - 취약 : 위 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어 지지 않는 경우 조치 방법 - ..

원문보기 내부링크
Tistory

[네트워크장비/기능 관리] Spoofing 방지 필터링 적용 (N-12)

Spoofing 방지 필터링 적용 취약점 개요 위험도 - 상 점검 목적 - 일반적으로 사용될 필요가 없는 Source IP로 설정된 패킷에 대한 ACL을 적용시켜 패킷을 필터함으로써 사용되지 않는 주소로 속여 공격하는 변조된 불법 패킷을 차단하기 위함 보안 위협 - 일반적으로 사용되지 않는 Source IP에 대한 ACL 적용을 하지 않은 경우, 공격자가 악의적인 목적으로 패킷을 조작하여 DoS 공격을 시도할 수 있음 점검 및 조치 방법 판단 기준 - 양호 : 악의적인 공격에 대비하여 Source IP에 ACL을 적용한 경우 - 취약 : 악의적인 공격에 대비하여 Source IP에 ACL을 적용하지 않은 경우 조치 방법 ㆍCISCO Router # show running IP spoof..

원문보기 내부링크
Tistory

[리눅스/계정관리] 일반사용자의 Sendmail 실행 방지 (U-32)

일반사용자의 Sendmail 실행 방지 취약점 개요 위험도 - 상 점검 목적 - 일반사용자의 q 옵션을 제한하여 Sendmail 설정 및 메일큐를 강제적으로 drop 시킬 수 없게 하여 비인가자에 의한 SMTP 서비스 오류 방지 보안 위협 - 일반 사용자가 q 옵션을 이용해서 메일큐, Sendmail 설정을 보거나 메일큐 를 강제적으로 drop 시킬 수 있어 악의적으로 SMTP 서버의 오류를 발생시 킬 수 있음 점검 및 조치 방법 판단 기준 - 양호 : SMTP 서비스 미사용 또는, 일반 사용자의 Sendmail 실행 방지가 설정된 경우 - 취약 : sMTP 서비스 사용 및 일반 사용자의 Sendmail 실행 방지가 설정되어 있지 않은 경우 조치 방법 - Sendmail 서비스를 사용하..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] Anonymous FTP 금지 (W-27)

Anonymous FTP 금지 3EB8A8 취약점 개요 위험도 - 상 점검 목적 - FTP 익명 접속을 제한하여, 중요 정보의 불법 유출을 차단 하고자 함 보안 위협 - FTP 익명 접속이 허용된 경우 핵심 기밀 자료나 내부 정보의 불법 유출 가능성이 존재함 점검 및 조치 방법 판단 기준 - 양호 : FTP 서비스를 사용하지 않거나, "익명 연결 허용" 이 체크되지 않은 경우 - 취약 : FTP 서비스를 사용하거나, "익명 연결 허용" 이 체크되어 있는 경우 조치 방법 - FTP 서비스를 사용하지 않는 경우 서비스 중지, 사용할 경우 "익명 연결 허용" 체크를 해제 Windows NT(IIS4.0), 2000(IIS 5.0), 2003(IIS 6.0) Step 1) 인터넷 정보 서비..

원문보기 내부링크
Tistory

[Web] 불충분한 인가 (IN)

불충분한 인가 취약점 개요 위험도 - 상 점검 목적 - 접근 권한에 대한 검증 로직을 구현하여 다른 사용자가 민감한 정보나 인증이 필요한 페이지의 접근을 차단하기 위함 보안 위협 - 중요 정보 페이지 접근을 위한 인증 로직이 구현되지 않을 경우, 비인가 사용자의 페이지에 접근 및 중요 정보의 열 및 변조가 가능함 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 중요 정보 페이지 접근 시 추가 인증을 하는 경우 - 취약 : 중요 정보 페이지의 파라미터 변경으로 타인의 정보를 열람 및 수정이 가능한 경우 조치 방법 - 중요 정보 페이지의 추가 인증 로직 구현 점검 방법 Step 1) 비밀 게시글(또는 개인 정보 수정, 패스워드 변경 등) 페이지에서 다른 사용자와의 구분을 ID, 일련..

원문보기 내부링크
Tistory

[Excel]엑셀 띄어쓰기(자간) 이상하게 될 때 - 키보드 띄어쓰기 오류 해결 방법

엑셀을 사용하시다 보면 내가 생각한 것과 다르게 결과가 나오는 경우가 있습니다. 엑셀 프로그램이 낯설고 어려워서 일지도 있겠지만 일부는 프로그램 상의 오류나 내가 알게 모르게 단축키가 눌려 버려서 그렇게 되는 경우가 있습니다. 이번 시간에는 엑셀에서 영어를 사용할 때 띄어쓰기가 이상하게 나오는 경우, 자간이 벌어져서 나오는 경우 해결 방법에 대해서 알아보겠습니다. 이번 띄어쓰기가 이상하게 되는 경우 간단하게 단축키로 해결할 수 있습니다. 띄어쓰기에 이상이 생기면 위 처럼 한글은 정상적으로 나오는 것을 보실 수 있는데 영어를 타이핑 해보시면 자간이 벌어져서 나오는 것을 보실 수 있습니다. 이 같은 경우 다음과 같이 해결하실 수 있습니다. 이 경우 " Alt + = " 를 눌러서 해결하실 수 있습니다. 일반..

원문보기 내부링크
Tistory

[Web] 크로스사이트 리퀘스트 변조 [CSRF] (CF)

크로스 사이트 리퀘스트 변조 취약점 개요 위험도 - 상 점검 목적 - 사용자 입력 값에 대한 적절한 필터링 및 인증에 대한 유효성을 검증하여 신뢰(인증) 정보 내의 요청(Request)에 대한 변조 방지 보안 위협 - 사용자의 신뢰(인증) 정보 내에서 사용자의 요청(Request)을 변조함으로써 해당 사용자의 권한으로 악의적인 공격을 수행할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 사용자 입력 값에 대한 검증 및 필터링이 이루어지는 경우 - 취약 : 사용자 입력 값에 대한 필터링이 이루어지지 않으며, HTML 코드(또는 스크립트)를 입력하여 실행되는 경우 조치 방법 - 사용자 입력 값에 대해 검증 로직 및 필터링 추가 적용 점검 방법 Step 1) XSS 취약점이..

원문보기 내부링크
Tistory

[Web] 세션 예측 (SE)

세션 예측 취약점 개요 위험도 - 상 점검 목적 - 사용자의 세션ID를 추측 불가능하도록 난수로 생성하여 공격자의 불법적인 접근을 차단하기 위함 보안 위협 - 사용자에게 전달하는 세션ID가 일정한 패턴을 가지고 있는 경우 공격자가 세션 ID를 추측하여 불법적인 접근을 시도할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 추측 불가능한 세션 ID가 발급되는 경우 - 취약 : 세션 ID가 일정한 패턴으로 발급되어 있는 경우 조치 방법 - 추측 불가능한 세션 ID가 발급되도록 로직을 구현 점검 방법 Step 1) 각각 다른 IP 주소와 다른 사용자명, 시간적 차이로 세션 ID를 발급받음 Step 2) 발급받은 세션 ID에 일정한 패턴이 있는지 조사 Step 3) 일정한 패턴..

원문보기 내부링크
Tistory

[MS Office] 오피스 365 평생무료 인증 및 다운로드하는 3가지 방법 / 오피스365 학생계정 가입하는 방법

회사나 가정 그리고 학교에서 마이크로소프트의 오피스 365 프로그램을 많이들 사용하시죠? 오피스 365는 유료 프로그램이기 때문에 정품 인증을 통해서 인증 후 사용하셔야 모든 기능을 정상적으로 사용이 가능합니다. 만약 인증을 하지 않고 사용하시게 되면 기본적인 기능은 사용은 가능하시지만 일부 기능의 사용이 제한될 수 있으니 꼭 인증을 하시고 사용하시는 것을 권장드립니다. MS Office 평생 인증하는 방법 3가지를 소개해드리겠습니다 먼저 MS 홈페이지에서 Office 365를 다운로드 해주셔야합니다. MS 에서 오피스 프로그램을 다운로드 하는 것은 무료로 진행되고 있고 다운로드 후 실행할 때 인증 절차를 거치게 됩니다. MS Office 365 홈페이지로 와보시면 우측에 Office 설치를 할 수 있게..

원문보기 내부링크
Tistory

[리눅스/패치 관리] 최신 보안패치 및 벤더 권고사항 적용 (U-42)

최신 보안패치 및 벤더 권고사항 적용 방법 취약점 개요 위험도 - 상 점검 목적 - 주기적인 패치 적용을 통하여 보안성 및 시스템 안정성을 확보함 보안 위협 - 최신 보안패치가 적용되지 않을 경우, 이미 알려진 취약점을 통하여 공격자에 의해 시스템 침해사고 발생 가능성이 존재함 점검 및 조치 사례 판단 기준 - 양호 : 패치 적용 정책을 수립하여 주기적으로 패치관리를 하고 있으며, 패치 관련 내용을 확인하고 적용했을 경우 - 취약 : 패치 적용 정책을 수립하지 않고 주기적으로 패치관리를 하고 있지 않거나 패치 관련 내용을 확인하지 않고 적용하지 않았을 경우 조치 방법 - OS관리자, 서비스 개발자가 패치적용에 따른 서비스 영향 정도를 파악하여 OS 관리자 및 벤더에서 적용 SOLARIS..

원문보기 내부링크
Tistory

[Web] 취약한 패스워드 복구 (PR)

취약한 패스워드 복구 취약점 개요 위험도 - 상 점검 목적 - 패스워드 복구 로직을 유추하기 어렵게 구현하고, 인증된 사용자 메일이나 SMS에서만 복구 패스워드를 확인할 수 있도록 하여 비인가자를 통한 사용자 패스워드 획득 및 변경을 방지하기 위함 보안 위협 - 취약한 패스워드 복구 로직(패스워드 찾기 등)으로 인해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경할 가능성이 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 패스워드 재설정 시 난수를 이용하여 재설정하고 인증된 사용자 메일이나 SMS로 재설정된 패스워드 전송 시 - 취약 : 패스워드 재설정 시 일정 패턴으로 재설정되고 웹 사이트 화면에 바로 출력될 시 조치 방법 - 패스워드 복구 로직을 변경하고 인증된 사..

원문보기 내부링크
Tistory

[정보처리기사] 2021년 개정판 정처기 실기 요약집

정보처리기사가 2020년 기준으로 NCS기반으로 새롭게 개편되었습니다. 그에 따라서 정처기 시험 안에 들어있는 과목들도 다 바뀌게 되었는데요 이번 대규모 개편으로 인해서 필기와 실기 모두 2020년 부터는 새롭게 공부하셔야 합니다. 저도 필기 시험은 보지 않았지만 최근에 개편된 과정으로 정보처리기사 실기 시험은 치루어 보았는데요 소프트웨어 개발, 코딩 문제들이 많이 나오더라고요, 실기라고는 하지만 직접 쓰는 서술형, 논술형 문제는 20문제 중에 몇문제 나오지 않고 단답형 문제와 코딩 문제가 많이 나왔으니 참고해 주시면 되겠습니다. 저도 인터넷에 많이 떠돌고 있는 정리본, 기출문제로 공부를 했습니다. 정보보안기사도 보았는데 보안기사 같은 경우는 정말 알아야할 것도 많고 난이도도 극상인 것 같은데 정보처리기..

원문보기 내부링크
Tistory

[MS Office] 오피스 2019 다운 및 무료인증 방법 / Office2019 크랙 다운로드 / 오피스 다운로드 및 무료 정품인증 방법

MS Office 는 일하는데 있어서 정말 없어서는 안되는 필수 프로그램입니다. 오피스 2019 버전 무료로 다운로드 하는 방법에 대해서 알아보겠습니다. 다운로드만 해도 사용하는데는 지장이 없지만 추가적인 기능들을 사용하려면 정품 인증하는 과정이 필요합니다. 정품 인증하는 과정까지 알아보도록하겠습니다. 오피스 2019 무료 다운로드 방법 먼저 오피스 프로그램을 다운로드 해주셔야합니다. 아래에서 오피스 2019 exe 설치 파일을 먼저 다운로드 해줍니다. 오피스 프로그램 다운로드 사이트 https://www.heidoc.net/joomla/technology-science/microsoft/82-office-2019-direct-download-links?highlight=WyJvZmZpY2UiLCJvZm..

원문보기 내부링크
Tistory

[MS Office] 오피스 2016 무료 다운로드 및 인증 방법/ 오피스2016 정품인증 하는 방법 / 오피스2016 크랙 다운로드

엑셀이나 워드, 파워포인트 등 사무직인 분들한테는 정말 없어서는 안될 프로그램들인데요 오늘은 오피스 2016 버전을 다운로드 하는 방법에 대해서 알아보겠습니다. 다운로드 하는 것은 어렵지 않고요 사이트에서 오피스 2016만 잘 찾아서 클릭만 잘해주시면 됩니다. 요즘은 오피스 365를 많이들 사용하시지만 그래도 구버전인 2019나 2016이 편하신 분들도 있으실 텐데요 그런 분들을 위해서 사이트를 하나 알려드리겠습니다. 오피스 2016 다운로드 사이트에 들어오셔서 오피스 2016을 다운로드 해주시면 되는데요 https://www.heidoc.net/joomla/technology-science/microsoft/8-office-2016-direct-download-links 처음에는 잘 찾기 힘드실 수 있..

원문보기 내부링크
Tistory

애플워치 국가별 워치페이스 다운로드 방법 - 인터내셔널 컬렉션 애플워치 스트랩 가격 정보 - 대한민국 에디션 아이폰 앱클립을 이용해 다운받는 방법

안녕하세요 최근에 애플에서 애플워치의 스트랩과 워치페이스를 새롭게 출시하였는데요 바로 인터내셔널 컬렉션입니다. 인터네셔널 컬렉션은 다양한 국가별로 스트랩과 워치페이스를 적용해서 사용할 수 있는데요 오늘은 애플워치 스트랩 가격 정보와 워치페이스를 정말 쉽게 다운로드 하실 수 있는 방법을 추천드리겠습니다. 애플워치 스트랩은 애플 공식 홈페이지에서 구매하실 수 있습니다. 다른 스트랩과 비슷한 가격이거나 오히려 저렴하게 판매하고 있으니 꼭 대한민국이 아니더라도 자신이 좋아하는 나라가 있다면 구매하셔서 사용해보는 것도 괜찮아 보입니다. 국가 워치페이스는 스트랩을 따로 구매하지 않으셔도 애플 공홈에서 바로 다운로드가 가능한데요, 찾아보시기 어려우실테니 아래에서 쉽게 다운로드 하는 방법을 알려드리도록 하겠습니다. 애..

원문보기 내부링크
Tistory

[리눅스/서비스 관리] Apache 웹 서비스 영역의 분리 (U-41)

Apache 웹 서비스 영역의 분리 취약점 개요 위험도 - 상 점검 목적 - 웹 서비스 영역과 시스템 영역을 분리시켜서 웹 서비스의 침해가 시스템 영역으로 확장될 가능성을 최소화하기 위함 보안 위협 - 웹 서버의 루트 디렉토리와 OS의 루트 디렉토리를 다르게 지정하지 않았을 경우, 비인가자가 웹 서비스를 통해 해킹이 성공할 경우 시스템 영역까지 접근이 가능하여 피해가 확장될 수 있음 점검 및 조치 방법 판단 기준 - 양호 : DocumentRoot를 별도의 디렉토리로 지정한 경우 - 취약 : DocumentRoot를 기본 디렉토리로 지정한 경우 조치 방법 - DocumentRoot "/usr/local/apache/htdocs", "/usr/local/apache2/htdocs", "/..

원문보기 내부링크
Tistory

[리눅스/서비스 관리] Apache 링크 사용금지 (U-39)

주요정보통신기반시설 Apache 링크 사용금지에 대해서 알아보겠습니다. 취약점 개요 위험도 - 상 점검 목적 - 무분별한 심볼릭 링크, aliases 사용제한으로 시스템 권한의 탈취 방지를 목적으로 함 보안 위협 - 시스템 자체의 root 디렉토리(/) 에 링크를 걸게 되면 웹 서버 구동 사용자 권한(nobody)으로 모든 파일 시스템의 파일에 접근할 수 있게 되어 "/etc/passwd" 파일과 같은 민감한 파일을 누구나 열람할 수 있게 됨 점검 및 조치 방법 판단 기준 - 양호 : 심볼릭 링크, aliases 사용을 제한한 경우 - 취약 : 심볼릭 링크, aliases 사용을 제한하지 않은 경우 조치 방법 - 심볼릭 링크, aliases 사용 제한 (/[Apache_home]/con..

원문보기 내부링크
Tistory

[리눅스/서비스 관리] Apache 파일 업로드 및 다운로드 제한 (U-40)

Apache 파일 업로드 및 다운로드 제한 취약점 개요 위험도 - 상 점검 목적 - 기반시설 특성상 원칙적으로 파일 업로드 및 다운로드를 금지하고 있지만 불가피하게 필요시 용량 사이즈를 제한함으로써 불필요한 업로드와 다운로드를 방지해 서버의 과부하 예방 및 자원을 효율적으로 관리하기 위함 보안 위협 - 악의적 목적을 가진 사용자가 반복 업로드 및 웹 쉘 공격 등으로 시스템 권한을 탈취하거나 대용량 파일의 반복 업로드로 서버자원을 고갈시키는 공격의 위험이 있음 점검 및 조치 방법 판단 기준 - 양호 : 파일 업로드 및 다운로드를 제한한 경우 - 취약 : 파일 업로드 및 다운로드를 제한하지 않은 경우 조치 방법 - 파일 업로드 및 다운로드 용량 제한 (/[Apache_home]/conf/h..

원문보기 내부링크
Tistory

애플워치 모든 국가별 워치페이스 앱클립 공유 - 아이폰 QR코드로 워치페이스 추가하는 방법 - 대한민국 에디션 워치페이스 다운로드

애플워치를 사용하시는 분들 최근에 인터네셔널 컬렉션 스트랩, 워치페이스가 출시된 사실 알고 계신가요? 인터네셔널 컬렉션은 다양한 국가별로 스트랩이나 워치페이스 디자인이 다르게 출시가 되었습니다. 스트랩 같은 경우 홈페이지에서 65,000원 정도의 가격으로 구매를 하실 수 있지만 워치페이스는 무료로 제공하고 있습니다. 이번 시간에는 아이폰을 이용해서 애플의 QR코드 기능인 앱클립 기능으로 워치페이스를 바로 추가하는 방법에 대해서 알아보겠습니다. 앱클립 기능은 IOS14 부터 추가된 기능이예요 기존에 앱 다운로드 방식은 애플의 앱스토어를 들어가서 다운을 받았지만 앱클립을 이용하면 정말 간단하게 사용할 수 있습니다. 사용 방법은 아이폰 카메라를 이용해서 앱클립을 비추고 있으면 QR코드 처럼 인식해 앱을 다운로..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] FTP 디렉토리 접근권한 설정 (W-26)

FTP 디렉토리 접근권한 설정 취약점 개요 위험도 - 상 점검 목적 - FTP 서비스 디렉토리의 접근 권한을 적절하게 설정하여 의도치 않은 정보 유출 등의 보안 사고를 방지하고자 함 보안 위협 - FTP 홈디렉토리에 과도한 권한이 부여된 경우 임의의 사용자가 쓰기, 수정이 가능하여 정보 유출, 파일 위변조 등의 위험이 존재 점검 및 조치 방법 판단 기준 - 양호 : FTP 홈 디렉토리에 Everyone 권한이 없는 경우 - 취약 : FTP 홈 디렉토리에 Everyone 권한이 있는 경우 조치 방법 - FTP 홈 디렉토리에서 Everyone 권한 삭제, 각 사용자에게 적절한 권한 부여 Windows NT(IIS4.0), 2000(IIS 5.0), 2003(IIS 6.0) Step 1)..

원문보기 내부링크
Tistory

[Web] 불충분한 인증 (IA)

주요 정보통신기반시설 - 기술적 취약점 - Web - 충분한 인증 취약점 개요 위험도 - 상 점검 목적 - 중요 페이지에 추가 인증으로 접근을 강화하여 불필요한 정보의 노출 및 변조를 차단하기 위함 보안 위협 - 중요 정보(회원정보 등) 페이지에 대한 인증 절차가 불충분할 경우 발생하는 취약점으로 권한이 없는 사용자가 중요 정보 페이지에 접근하여 정보를 유출하거나 변조할 수 있으므로 중요 정보 페이지에는 추가적인 인증 절차를 구현하여야 함 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 중요 정보 페이지 접근 시 추가 인증을 하는 경우 - 취약 : 중요 정보 페이지 접근에 대한 추가 인증을 하지 않는 경우 조치 방법 - 중요 정보 페이지에 대한 추가 인증 로직 추가 구현 점검 방..

원문보기 내부링크
Tistory

PC 포맷 후 필수 프로그램 모음 / 네이버 인기 소프트웨어 무료 다운로드

PC 포맷 후 필수 프로그램 모음 / 네이버 인기 소프트웨어 무료 다운로드 브라우저 크롬 구글에서 만든 세계 점유율 1위 브라우저 입니다 빠르고 쾌적한 웹 브라우징 기능과 쉬운 사용법으로 많은 유저들에게 사랑받는 무료 웹 브라우저 프로그램입니다 https://mega.nz/file/UtEkTbII#y2pFvsm3qOzVQwnhG9CyueEysttLYuPXjkSj-ufiTKE 1.25 MB file on MEGA mega.nz 웨일브라우저 네이버에서 만든 국산 브라우저 입니다 빠르고 스마트한 네이버 웨일을 만나보세요. 차원이 다른 옴니태스킹으로 여러분의 인터넷이 새로워집니다. https://mega.nz/file/05UGXDzZ#Ay2LwbiG3gU2uqO-5ZsWfG5JU9gB92U-2mmU8fz0Bts..

원문보기 내부링크
Tistory

맥북(MacOS) 무료 필수 프로그램 모음 / 네이버 인기 소프트웨어 무료 다운로드

맥북(MacOS) 무료 필수 프로그램 모음 / 네이버 인기 소프트웨어 무료 다운로드 브라우저 네이버 웨일 네이버에서 만든 브라우저입니다 빠르고 스마트한 네이버 웨일을 만나보세요 차원이 다른 옴니태스킹으로 여러분의 인터넷이 새로워집니다 131.17 MB file on MEGA mega.nz 크롬 구글에서 만든 세계 점유율 1위의 브라우저입니다 어떤 브라우저 쓰실지 애매하시면 크롬을 쓰시면 될 정도로 유명한 브라우저입니다 Chrome 웹브라우저 더욱 스마트해진 Google로 더 심플하고 안전하고 빠르게. www.google.com 메신저 라인 LINE for Mac LINE은 언제, 어디서나 메시지와 영상통화, 음성통화를 무료로 즐길 수 있는 커뮤니케이션 메신저입니다 지금 다운로드하고 소중한 우리 사이를 L..

원문보기 내부링크
Tistory

[Web] 약한 문자열 강도 (BF)

약한 문자열 강도 취약점 개요 위험도 - 상 점검 목적 - 유추 가능한 취약한 문자열 사용을 제한하여 계정 및 패스워드 추측 공격을 방지하기 위함 보안 위협 - 해당 취약점 존재 시 유추가 용이한 계정 및 패스워드의 사용으로 인한 사용자 권한 탈취 위험이 존재하며, 해당 위험을 방지하기 위해 값의 적절성 및 복잡성을 검증하는 체크 로직을 구현하여야 함 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 관리자 계정 및 패스워드가 유추하기 어려운 계정으로 설정되어 있는 경우 - 취약 : 관리자 계정 및 패스워드가 유추하기 쉬운 계정으로 설정되어 있는 경우 조치 방법 - 계정 및 비밀번호의 체크 로직 추가 구현 점검 방법 Step 1) 웹 사이트 로그인 페이지의 로그인 창에 추측 가능한..

원문보기 내부링크
Tistory

네이버 자료실 순위 31위~40위 / 인기 소프트웨어 무료 다운로드 Top40

네이버 자료실 순위 31위~40위 / 인기 소프트웨어 무료 다운로드 Top40 40위 안랩 V3 Lite 안철수 연구소 안랩에서 만든 PC 백신 프로그램 입니다 V3 Lite는 악성코드 진단 및 치료는 물론, 의심 프로그램 실행 차단/웹 보안 등 강력한 PC보안을 제공하는 AhnLab의 대표 무료백신입니다. 39위 MS Excel Viewer Excel이 설치되어 있지 않아도 Excel 통합 문서를 열어서 보고 인쇄할 수 있는 프로그램입니다. 50.92 MB file on MEGA mega.nz 38위 메이플스토리 폰트(Maplestory) 아기자기한 메이플스토리 게임 폰트입니다 TTF/OTF 수동설치형 Windows용 1.51 MB file on MEGA mega.nz 37위 알캡처(ALCapture)..

원문보기 내부링크
Tistory

네이버 자료실 순위 41위~50위 / 인기 소프트웨어 무료 다운로드 Top50

네이버 자료실 순위 41위~50위 / 인기 소프트웨어 무료 다운로드 Top50 50위 꽃길 폰트 TTF/OTF 수동설치형 Windows용 925.2 KB file on MEGA mega.nz 49위 3D Mark 세계에서 가장 인기있는 PC 하드웨어 성능 테스트 프로그램입니다 Save 85% on 3DMark on Steam 3DMark is for gamers, overclockers and system builders who want to get more out of their hardware. With its wide range of benchmark tests, 3DMark has everything you need to test your PC's performance. store.steampow..

원문보기 내부링크
Tistory

네이버 자료실 순위 11위~20위 / 인기 소프트웨어 무료 다운로드 Top20

안녕하세요 오늘은 네이버 소프트웨어 자료실에서 인기 11위부터 20위 까지의 프로그램들을 소개해 드리려고합니다 네이버 자료실은 2021년 8월 31일 종료됩니다 20위 알집(ALZip) 쉽고 빠르게 사용할 수 있는 편리한 인터페이스를 제공하며, 새로운 압축포맷 EGG를 포함한 40여개의 압축포맷 지원, 다양한 부가기능을 제공하는 통합 압축 관리 프로그램입니다 설치 시 Zum을 기본 브라우저로 실행하는 옵션이 포함되어 있습니다 18.58 MB file on MEGA mega.nz 19위 멀웨어 제로(Malware Zero) 도스 기반으로 스크립트 형태의 애드웨어, 악성코드 및 각종 유해 프로그램을 효과적으로 제거할 수 있는 설치 없이 사용 가능한 무료 악성코드 제거 도구입니다. 데이터베이스 날짜 기준으로 ..

원문보기 내부링크
Tistory

[Web] 크로스사이트 스크립팅 (XS)

크로스사이트 스크립팅 취약점 개요 위험도 - 상 점검 목적 - 웹 페이지 내 크로스사이트 스크립팅 취약점을 제거하여 악성 스크립트의 실행을 차단 보안 위협 - 웹 애플리케이션에서 사용자 입력 인수 값에 대한 필터링이 제대로 이루어지지 않을 경우, 사용자 인수 값을 받는 웹 사이트 게시판, URL 등에 악의적인 스크립트를 삽입하여 게시글이나 이메일을 읽는 사용자의 쿠키, 세션을 도용하거나 악성코드(URL 리다이렉션)를 유포할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 사용자 입력 인수 값에 대한 검증 및 필터링이 이루어지는 경우 - 취약 : 사용자 입력 값에 대한 검증 및 필터링이 이루어지지 않으며, html 코드가 입력, 실행 되는 경우 조치 방법 - 웹 사이트의 게시..

원문보기 내부링크
Tistory

네이버 자료실 순위 21위~30위 / 인기 소프트웨어 무료 다운로드 Top30

네이버 자료실 순위 21위~30위 / 인기 소프트웨어 무료 다운로드 Top30 30위 PhotoScape 블로그 운영하시는 블로거 분들도 많이 사용하시는 포토스케이프입니다 디카와 폰카 사진을 쉽게 편집할 수있는 프로그램입니다 20.05 MB file on MEGA mega.nz 29위 스마트 오토클릭(Smart AutoClick) 마우스 클릭을 자동으로 해주는 프로그램. 버튼, 클릭 종류, 시간 간격, 클릭 횟수 등을 설정할 수 있으며 미리 저장한 여러 지점을 자동클릭해주는 스마트 클릭이 지원됩니다 817.1 KB file on MEGA mega.nz 28위 nPDF nPDF는 집,회사등에서 자유롭게 사용이 가능한 무료 프리웨어 프로그램입니다 14.99 MB file on MEGA mega.nz 27위 ..

원문보기 내부링크
Tistory

윈도우 11 신기능 공개, 출시일, Windows11 다운로드 방법

윈도우 11 신기능 공개, 출시일, Windows11 다운로드 방법 안녕하세요 윈도우 11이 드디어 2021년 6월 24일 공개 되었습니다 윈도우 10이 윈도우의 마지막 시리즈라고 예견되었지만 결국 11이 나오고야 말았습니다 오늘은 윈도우11의 대표적인 기능 몇가지를 살펴보려고 합니다 우선 시작 화면이 다소 변화가 있었습니다 왼쪽에 있던 상태표시줄이 가운데 쪽으로 이동하였고 윈도우 버튼을 눌러 시작했던 "시작" 메뉴 또한 디자인이 바뀌었습니다 기본적으로 윈도우앱 기반 프로그램들이 탑재된 것으로 보입니다 윈도우 스토어도 많은 변화가 있었는데요 이제 모바일에서 사용되었던 앱들도 다수 지원이 가능할 것으로 보입니다 대표적으로 틱톡을 윈도우11에서 실행하는 모습을 시연하면서 PC와 모바일의 벽을 점차 허물어가는..

원문보기 내부링크
Tistory

네이버 자료실 순위 1위~10위 / 인기 소프트웨어 무료 다운로드 Top10

안녕하세요 네이버에서 제공하는 자료실이 이제 서비스를 종료하게 되었습니다 네이버 자료실에서 받을 수 있는 인기 무료 소프트웨어를 다운로드 할 수 있게 만들어 두었습니다 몇몇 소프트웨어는 일부 기능을 사용하려면 라이센스가 필요하니 해당 개발사 홈페이지에 접속하셔서 라이센스 등록 후 사용하시면 됩니다 1위부터 10위까지입니다 10위 곰믹스 비디오 영상이나 사진 등을 쉽고 빠르게 편집하여 나만의 영상을 제작할 수 있는 프로그램입니다. 설치과정에서 zum을 시작페이지로 변경하는 옵션 선택하는 부분이 있습니다 참고 부탁드립니다 143.86 MB file on MEGA mega.nz 9위 반디캠 반디캠은 컴퓨터 화면, 게임 화면, 파워포인트, 주식, 웹캠, 인터넷 강의 동영상 등 컴퓨터에 보이는 모든 화면과 소리를..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] NetBIOS 바인딩 서비스 구동 점검 (W-24)

NetBIOS 바인딩 서비스 구동 점검 취약점 개요 위험도 - 상 점검 목적 - NetBIOS와 TCP/IP 바인딩을 제거하여 TCP/IP를 거치게 되는 파일 공유서비스를 제공하지 못하도록 하고, 인터넷에서의 공유자원에 대한 접근 시도를 방지하고자 함 보안 위협 - 인터넷에 직접 연결되어 있는 윈도우 시스템에서 NetBIOS TCP/IP 바인딩이 활성화 되어 있을 경우 공격자가 네트워크 공유자원을 사용할 우려 존재 점검 및 조치 방법 판단 기준 - 양호 : TCP/IP와 NetBIOS 간의 바인딩이 제거 되어 있는 경우 - 취약 : TCP/IP와 NetBIOS 간의 바인딩이 제거 되어있지 않은 경우 조치 방법 Windows NT, 2000, 2003, 2008, 2012 Step 1) ..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] FTP 서비스 구동 점검 (W-25)

FTP 서비스 구동 점검 취약점 개요 위험도 - 상 점검 목적 - 인증 정보가 기본적으로 평문전송 되는 취약한 프로토콜인 FTP의 사용을 제한하여 네트워크 보안성을 높이고자 함 보안 위협 - OS에서 제공하는 기본적인 FTP 서비스를 사용할 경우 계정과 패스워드가 암호화 되지 않은 채로 전송 되어 Sniffer에 의한 계정 정보의 노출 위험이 존재함 점검 및 조치 방법 판단 기준 - 양호 : FTP 서비스를 사용하지 않는 경우 또는 secure FTP 서비스(sFTP)를 사용하는 경우 - 취약 : FTP 서비스를 사용하는 경우 조치 방법 - FTP 서비스가 필요하지 않다면 서비스 중지 또는 secure FTP 응용프로그램 사용 Windows NT, 2000, 2003, 2008, 2..

원문보기 내부링크
Tistory

[보안장비/기능관리] 이상징후 탐지 경고 기능 설정 (S-13)

이상징후 탐지 경고 기능 설정 취약점 개요 위험도 - 상 점검 목적 - 이상징후가 탐지되는 경우 사고 예방 및 신속한 조치를 이행하기 위함 보안 위협 - 이상징후 탐지 시 경고 기능이 설정되지 않을 경우, 보안사고 미연 방지 및 IT 컴플라이언스를 준수하기가 어려워 질 수 있음 점검 및 조치 방법 판단 기준 - 양호 : 이상징후 탐지 시 관리자에게 이메일이나 SMS로 통보되는 경우 - 취약 : 이상징후 탐지 시 관리자에게 이메일이나 SMS로 통보되지 않는 경우 조치 방법 - 이상징후 탐지 시 관리자에게 이메일이나 문자 통보 점검 방법 Step 1) 보안장비의 실시간 알람, 이메일, SMS경고 기능 설정 확인 설정 방법 Step 1) 24시간 모니터링을 통한 검사가 여건상 여러울 ..

원문보기 내부링크
Tistory

[보안장비/기능관리] 최소한의 서비스만 제공 (S-12)

최소한의 서비스만 제공 취약점 개요 위험도 - 상 점검 목적 - 방화벽 정책을 검토하여 사용하지 않는 IP와 Port를 제거하여 네트워크 및 시스템 운영의 보안성을 유지하기 위함 보안 위협 - 필요한 서비스를 제외한 다른 서비스가 활성화 될 경우, 이를 통해 해커의 침입 또는 악성 소프트웨어 전달 등의 보안 위험이 발생할 수 있음 점검 및 조치 방법 판단 기준 - 양호 : all deny 설정을 하고, 방화벽에 최소 서비스만 허용한 경우 - 취약 : all deny 설정이 되어 있지 않거나, 방화벽에 불필요한 서비스를 허용한 경우 조치 방법 - 방화벽에 최소 서비스만 허용하도록 설정함 점검 방법 Step 1) 방화벽에서 허용되지 않은 포트 접속 확인 설정 방법 Step 1) 방화..

원문보기 내부링크
Tistory

[Web] 악성 콘텐츠 (CS)

악성 콘텐츠 취약점 개요 위험도 - 상 점검 목적 - 사이트 내 악의적인 콘텐츠 삽입 및 실행을 방지하기 위함 보안 위협 - 웹 사이트 게시판, 댓글 ,자료실 등에 정상적인 콘텐츠 대신에 악성 콘텐츠를 주입하여 실행 될 경우 사용자가 원본 콘텐츠 대신 악성코드 감염 및 웹 페이지 변조 등 사용자에게 악의적인 영향을 미칠 수 있는 악성 콘텐츠를 열람할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 악의적 콘텐츠가 실행되지 않는 경우 - 취약 : 악의적 콘텐츠가 입력되며, 실행되는 경우 조치 방법 - 사용자 입력 값에 대한 검증 로직 추가 및 실행 제한 설정 점검 방법 Step 1) 콘텐츠 삽입 및 파일 업로드 제한 필터링 적용 여부 점검 Step 2) 게시판 등의 페이지..

원문보기 내부링크
Tistory

아이폰 사진, 동영상을 윈도우10 컴퓨터(PC) 에 옮기는 방법

아이폰을 사용하시는 분들 중에는 맥북을 사용하시는 분들도 많으시겠지만 아무래도 윈도우의 점유율이 높다보니 윈도우PC를 사용하시는 분들이 더 많으실텐데요 오늘은 아이폰에 있는 사진을 윈도우 컴퓨터로 백업하는 방법에 대해서 알아보겠습니다 먼저 아이폰 선으로 PC에 연결을 해줍니다 "내 컴퓨터"로 들어가 보시면 Apple IPhone 이라는 장치 드라이브가 나온 것을 볼 수 있습니다 이렇게 장치 드라이브 표시가 나오지 않고 C, D 드라이브 만 보인다 하시는 분들은 아이폰에서 먼저 연결 허용 표시가 떴는지 확인해 주시고 허용을 눌러주셔야 합니다 허용 표시가 뜨지 않으시다면 다시 연결해서 확인해 주세요 장치 드라이브에 들어가 보시면 이렇게 APPLE 폴더들이 여러개가 보이실텐데요 폴더에 들어가보시면 사진이 나누..

원문보기 내부링크
Tistory

[리눅스/서비스 관리] Apache 불필요한 파일 제거 (U-38)

Apache 불필요한 파일 제거 취약점 개요 위험도 - 상 점검 목적 - Apache 설치 시 디폴트로 설치되는 불필요한 파일을 제거함을 목적으로 함 보안 위협 - Apache 설치 시 htdocs 디렉토리 내에 매뉴얼 파일은 시스템 관련 정보를 노출하거나 해킹에 악용될 수 있음 점검 및 조치 방법 SOLARIS, LINUX, AIX, HP-UX Step 1) # ls 명령어로 확인된 매뉴얼 디렉토리 및 파일 제거 # rm -rf /[Apache_home] /htdocs/manual # rm -rf /[Apache_home] /manual 판단 기준 - 양호 : 기본으로 생성되는 불필요한 파일 및 디렉토리가 제거되어 있는 경우 - 취약 : 기본으로 생성되는 불필요한 파일 및 디렉토리가 ..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] IIS WebDAV 비활성화 (W-23)

IIS WebDAV 비활성화 취약점 개요 위험도 - 상 점검 목적 - WebDAV 서비스를 비활성화 하여, IIS WebDAV에서 발견되는 다수의 인증 우회 취약점을 제거하고자 함 보안 위협 - WebDAV가 활성화 되어 있는 경우 IIS에 악의적으로 작성된 HTTP 요청을 이용하여 인증을 우회함으로써 패스워드로 보호된 WebDAV의 자원에 접근(디렉토리 열람, 파일 다운로드 등)이 가능 - WebDAV에 의해 호출된 일부 구성 요소에 매개 변수를 정확하게 점검하지 않는 결함이 존재하여, 이로 인한 버퍼 오버런이 발생 가능 점검 및 조치 방법 판단 기준 - 양호 : 다음 중 한 가지라도 해당하는 경우 1. IIS 서비스를 사용하지 않는 경우 2. DisableWebDAV 값이 1로 설정되어..

원문보기 내부링크
Tistory

[윈도우/서비스 관리] IIS Exec 명령어 쉘 호출 진단 (W-22)

IIS Exec 명령어 쉘 호출 진단 취약점 개요 위험도 - 상 점검 목적 - 웹 서버에서 임의 명령어 호출을 제한하여 허가되지 않은 명령어 실행을 차단하기 위함 보안 위협 - 웹 서버에서 # exec 명령어를 통한 명령어 실행이 차단되지 않은 경우, 웹서버에서 임의의 시스템 명령이 호출 가능하여 허가되지 않은 파일이 실행되는 위험이 존재함 점검 및 조치 방법 판단 기준 - 양호 : IIS 5.0 버전에서 해당 레지스트리 값이 0 이거나, IIS 6.0 버전 이상인 경우 - 취약 : IIS 5.0 버전에서 해당 레지스트리 값이 1인 경우 조치 방법 - 위의 양호 기준에 맞춰 레지스트리 값 설정 Windows NT (IIS 4.0), 2000(IIS 5.0) Step 1) 시작 > 실..

원문보기 내부링크
Tistory

[Web] 정보 누출 (IL)

정보 누출 4E5C68 취약점 개요 위험도 - 상 점검 목적 - 에러 상황에서 적절한 에러 페이지가 노출되도록 하여 2차 공격에 활용될 수 있는 불필요한 정보 노출을 차단하기 위함 보안 위협 - 웹사이트 내 적절한 에러 페이지가 마련되지 않은 경우 오류 메시지에서 웹 사이트의 민감한 정보(소스 코드 내 계정 및 비밀번호, 애플리케이션정보, DB정보, 웹서버 구성 정보, 개발 과정의 코멘트 등)가 노출되어 공격자들의 2차 공격을 위한 정보로 활용될 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 웹 서비스 에러 페이지가 별도로 지정되어 있는 경우 - 취약 : 웹 서비스 에러 페이지가 별도로 지정되지 않아 에러 발생 시 중요 정보가 노출되는 경우 조치 방법 - 발생 가능한 각 ..

원문보기 내부링크
Tistory

[보안장비/기능관리] DMZ 설정 (S-11)

DMZ 설정 취약점 개요 위험도 - 상 점검 목적 - 외부 네트워크로 서비스를 제공하는 호스트에서 내부 네트워크로의 접근이 통제되고 있는지 확인하기 위함 보안 위협 - DMZ 설정을 통해 내부 네트워크와 외부 서비스 네트워크를 구분하도록 설정 되어 있지 않은 경우, 외부 네트워크를 통해서 서비스를 제공받는 악의적인 사용자가 DMZ 내 호스트를 통해 내부 네트워크로 불법적 연결을 시도할 수 있음 점검 및 조치 방법 판단 기준 - 양호 : DMZ를 구성하여 내부 네트워크를 보호하는 경우 - 취약 : DMZ를 구성하지 않고 사설망에서 외부 공개 서비스를 제공하는 경우 조치 방법 - DMZ를 구성하여 외부 네트워크와 외부 서비스 네트워크 분리 (물리적 망분리가 되어 있으면 해당사항 없음) ..

원문보기 내부링크
Tistory

[네트워크장비/기능 관리] TFTP 서비스 차단 (N-11)

TFTP 서비스 차단 취약점 개요 위험도 - 상 점검 목적 - 인증 기능이 없는 TFTP 단점을 보완하기 위해 사용이 허용된 시스템만 TFTP 서비스를 사용하게 하여 TFTP를 이용한 비인가자의 내부 정보 유출을 막고 중요정보 등의 정보 유출을 막기 위함 보안 위협 - TFTP 서비스는 인증절차 없이 누구나 사용이 가능한 서비스로 공격자가 TFTP를 통해 악성 코드가 삽입된 파일을 올려 사용자에게 배포할 수 있고, 네트워크 설정 파일이나 중요한 내부 정보를 유출할 수 있음 점검 및 조치 방법 판단 기준 - 양호 : TFTP 서비스를 사용하지 않거나, ACL을 적용하여 사용하는 경우 - 취약 : TFTP 서비스를 사용하고 ACL 설정하지 않은 경우 조치 방법 ㆍCISCO Router # ..

원문보기 내부링크
Tistory

[리눅스/서비스 관리] Apache 상위 디렉토리 접근 금지 (U-37)

Apache 상위 디렉토리 접근 금지 취약점 개요 위험도 - 상 점검 목적 - 상위 경로 이동 명령으로 비인가자의 특정 디렉토리에 대한 접근 및 열람을 제한하여 중요 파일 및 데이터 보호를 목적으로 함 보안 위협 - 상위 경로로 이동하는 것이 가능할 경우 접근하고자 하는 디렉토리의 하위 경로에 접속하여 상위경로로 이동함으로써 악의적인 목적을 가진 사용자의 접근이 가능함 점검 및 조치 방법 판단 기준 - 양호 : 상위 디렉토리에 이동제한을 설정한 경우 - 취약 : 상위 디렉토리에 이동제한을 설정하지 않은 경우 조치 방법 Step 1) 사용자 인증을 하기 위해서 각 디렉토리 별로 httpd.conf 파일 내 AllowOverride 지시자의 옵션 설정을 변경 (None 에서 AuthConf..

원문보기 내부링크
1 2 3 4 5 6 7 8 9 10