본문 바로가기

정보보안기사&CISSP관련/Application Security16

[Day 293] 웹 애플리케이션 개발 시 보안 요구사항 개발 보안 요구사항 추가 설명 사용자에게 전달된 값(Hidden Form Field, Parameter)을 재사용할 경우 신뢰해서는 안된다. 클라이언트에 저장된 정보는 쉽게 조작 가능하므로, 세션 기반으로 서버에서 처리하도록 변경 필요 최종 통제 메커니즘은 반드시 서버에서 수행되어야 한다. 클라이언트에서 입력값을 검증하는 것은 쉽게 우회 가능 1차 검증은 클라이언트 측에서 하고 2차 검증은 서버 측에서 하도록 개발 필요 클라이언트에게 중요 정보를 전달하지 않는다. 중요 정보 하드코딩 금지 쿠키에 중요 정보 전달 시 암호화 필수 중요 정보 전송 시 POST 메소드 및 SSL(HTTPS)를 적용한다. 사용자로부터 중요 정보 받을 때 GET 메소드 사용 시 URL상에 정보가 노출되므로 POST 메소드 사용 필.. 2021. 5. 29.
[Day 274] SNMP - Community String Community String SNMP 데몬(Manager)와 클라이언트(Agent)가 데이터를 교환하기 전에 사용하는 일종의 패스워드 초기값으로 public 또는 private이 설정되어 있음. 이를 그대로 사용하는 것은 보안상 위험하므로 추측하기 어려운 문자열로 변경해야 함 SNMP에서 RO(Read Only), RW(Read Write) 모드 제공. RW 권한이 있을 경우 중요 설정을 수정할 수 있어 보안상 취약하므로 사용 자제 권고 * 출처 : 알기사 정보보안기사 실기 2021. 5. 10.
[Day 100] 검색엔진 정보노출 취약점 검색엔진 정보노출 취약점 검색엔진에 의해 해킹에 필요한 정보가 노출되는 취약점 로봇배제표준 : 검색로봇에 대한 웹사이트의 디렉터리 및 파일들에 대한 검색조건을 명시해놓은 표준 규약으로 접근제한 설정을 "robots.txt"파일에 기술함 robots.txt 설정 방법 User-agent: 로봇 이름 Allow/Disallow: URL 접근허용 여부 반드시 최상위 주소(루트 디렉터리)에 저장해야 함 대소문자 구분 띄어쓰기 유의. 여러 로봇 설정시 한줄 띄어쓰기 금지 robots.txt 설정 예시 User-agent : * Disallow: / 모든 검색로봇(*)에 대해 웹사이트 전체(/)에 대한 접근(크롤링) 차단 User-agent: Googlebot User-agent: Yeti Disallow: (또는.. 2020. 11. 18.
[Day 99] HTTP Cookie 관련 보안 속성 httponly 속성 "Set-Cookie 응답 헤더"에 설정하는 속성 클라이언트(웹 브라우저 등)에서 스크립트를 통해 해당 쿠키에 접근하는 것을 차단하여 세션 탈취 방지 XSS 공격 대응책 php.ini의 session.cookie_httponly = True (또는 1) 설정 secure 속성 "Set-Cookie 응답 헤더"에 설정하는 속성 클라이언트(웹 브라우저 등)에서 HTTPS(SSL/TLS) 통신일 경우에만 해당 쿠키를 전송하고, HTTP 통신을 경우에는 전송하지 않음 전송구간 암호화를 통해 평문 쿠키 노출 방지 php.ini의 session.cookie_secure= True (또는 1) 설정 2020. 11. 17.