개발자의 끄적끄적

[개발/보안] 웹 보안 취약점, 어떻게 없앨까? [펌] 많은 회사들이 중요 데이터의 유출 사고가 발생한 후에야 웹 보안을 강화하는데 혈안이 됩니다. 웹 개발 시에는 시큐어코딩을 위한 보안 문제의 영역이 매우 모호하기 때문입니다. 웹 보안 위협에 효과적인 접근 방식은 사전에 예방해야 하며 방어적이어야 합니다. 그런 보안 마인드를 고무시켜 경계심을 심어주고자 이 글을 작성했습니다. 특히, 이 가이드는 알고 있어야 할 10가지의 보편적이고 중요한 웹 보안 위험에 중점을 두며 권장 예방법도 포함합니다. 기준은 전세계의 소프트웨어 보안을 향상시키는 것이 목표인 국제 비영리 조직인 OWASP (Open Web Application Security Project) 에서 정의한 상위 10개 웹 취약점 입니다. 시작하기..

[공격] Brute force 공격(무작위 대입 공격) [펌] 알파벳 순 가장 단순한 방법으로 사용자가 직접 알파벳, 숫자 순으로 차례대로 대입 하는 방법 딕셔너리 공격 사람들이 자주 사용하는 패스워드 위주로 입력하는 방법으로 마치 패스워드로 이루어진 사전을 이용하는 것처럼 공격하여 붙여진 이름 이러한 Brute force 공격 작업을 도와주는 프로그램들이 있는데 우리는 Burp Suite의 intruder 기능을 이용해 보자. 우선 Burp Suite의 Proxy 탭에서 Intercept 기능이 꺼져있는지 확인 한다. 켜져있다면 꺼준다. intercept 기능은 실시간으로 요청을 변경할 때 이외에는 꺼두는게 좋다. 다음으로 DVWA에서 Username : admin, Password : aaaa를 입력..

[참고] 웹 스트레스 테스트 [링크] 웹개발이 끝날 무렵 서버에 부하를 주기위한 스트레스 테스트에 관한 내용들이 나오곤 합니다... 참고하시라고 링크 올려봐요!! 링크 : https://blog.naver.com/writer0713/221328393904 [Web] 스트레스 테스트 웹개발의 경우, 서비스 개발이 끝나고 실제 서비스 출시를 하기 전에 서버의 스트레스 테스트를 할 필요가 ... blog.naver.com

[보안] 웹(Web) 보안 취약점 5가지 [펌] 웹(Web) 보안 취약점 5가지를 기술하고 그에 대한 각각의 대책을 설명 1. 웹(Web)서비스 2. 웹구조 3. 웹보안 가. 웹보안 취약점 (OWASP-10 중 상위 5가지) 나. 웹보안 취약점에 대한 대책 4. 웹보안 기술 동향 1. 웹(Web)서비스 - TCP/IP 통신 프로토콜을 이용하는 인터넷 서비스중 가장 대표적인것이 웹 서비스임 - 홈페이지 해킹(웹 해킹)은 불법로그인, 게시판에 악성코드 삽입, 개인정보탈취 등 다양한 공격을 하고 있음 - 국제 웹보안 표준 기구에서는 매년 OWASP-10 (웹취약점 10가지)를 발표함 2. 웹구조 - 클라이언트는 웹서버에 홈페이지를 요청해 단순히 화면을 볼 수 있음 - 홈페이지에는 관리자 로그인, 사용자 로그인..