전체 글

[설계 단계 - 입력데이터 검증 및 표현] 시스템 자원 접근 및 명령어 수행 입력값 검증

소프트웨어 보안약점 진단가이드 2021.11 개정안 기준으로 작성 - 이후 내용이 수정될 수 있습니다. [항목] - 시스템 자원 접근 및 명령어 수행 입력값 검증 [유형] - 입력데이터 검증 및 표현 [기준] - 시스템 자원접근 및 명령어를 수행할 때 입력값에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계해야 한다. [보안 대책] - 외부입력값을 이용하여 시스템자원(IP, PORT번호, 프로세스, 메모리, 파일 등)을 식별하는 경우 허가되지 않은 자원이 사용되지 않도록 해야 한다. - 서버프로그램 안에서 셸을 생성하여 명령어를 실행해야 하는 경우 외부입력값에 의해 악의적인 명령어가 실행되지 않도록 해야 한다. [구현단계 관련 보안약점] - 입력 데이터 검증 및 표현 > 코드 삽입..

[설계 단계 - 입력데이터 검증 및 표현] 디렉토리 서비스 조회 및 결과 검증

소프트웨어 보안약점 진단가이드 2021.11 개정안 기준으로 작성 - 이후 내용이 수정될 수 있습니다. [항목] - 디렉토리 서비스 조회 및 결과 검증 [유형] - 입력데이터 검증 및 표현 [기준] - 디렉토리 서비스(LDAP 등)를 조회할 때 입력값과 그 조회결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계한다. [보안 대책] - LDAP 인증서버로 인증을 구현하는 경우 인증요청을 위해 사용되는 외부입력값은 LDAP 삽입 취약점을 가지지 않도록 필터링해서 사용해야 한다. [구현단계 관련 보안약점] - 입력 데이터 검증 및 표현 > LDAP 삽입 취약점 개요: LDAP 삽입 외부입력값이 LDAP 조회를 수행하기 위한 필터 생성에 사용되는 경우 필터규칙을 변경할 수 있는 입력값..

[설계 단계 - 입력데이터 검증 및 표현] XML 조회 및 결과 검증

소프트웨어 보안약점 진단가이드 2021.11 개정안 기준으로 작성 - 이후 내용이 수정될 수 있습니다. [항목] - XML 조회 및 결과 검증 [유형] - 입력데이터 검증 및 표현 [기준] - XML 조회시 질의문(XPath, XQuery 등) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등)과 유효하지 않은 값에 대한 처리방법을 설계해야 한다. [보안 대책] - XML문서를 조회하는 기능을 구현해야 하는 경우 XML질의문에 사용되는 파라미터는 반드시 XML쿼리를 조작할 수 없도록 필터링해서 사용하거나, 미리 작성된 질의문에 입력값을 자료형에 따라 바인딩해서 사용해야 한다. [구현단계 관련 보안약점] - 입력 데이터 검증 및 표현 > XML 삽입 - 입력 데이터 검증 및 표현 > 부적절한 XM..

[설계 단계 - 입력데이터 검증 및 표현] DBMS 조회 및 결과 검증

소프트웨어 보안약점 진단가이드 2021.11 개정안 기준으로 작성 - 이후 내용이 수정될 수 있습니다. [항목] - DBMS 조회 및 결과 검증 [유형] - 입력데이터 검증 및 표현 [기준] - DBMS 조회시 질의문(SQL) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리방법을 설계해야 한다. [보안 대책] - 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해야 한다. - 외부입력값이 삽입되는 SQL질의문을 동적으로 생성해서 실행하지 않도록 해야 한다. - 외부입력값을 이용해 동적으로 SQL질의문을 생성해야 하는 경우, 입력값에 대한 검증을 수행한 뒤 사용해야 한다. [구현단계 관련 보안약점] - 입력 데이터 검증 및 표현 > SQL 삽입..

2022년 파세코 프리미엄 창문형 에어컨 PWA-3400W 구매 및 실사용 후기

올해는 왠지 더위가 빨리 찾아올 거 같아서 자취방에 쓸 에어컨을 좀 일찍 찾던 도중... 파세코에서 22년 신형이 나왔다길래..!! 얼리버드 이벤트도 하길래..!! 내돈내산으로 빠르게 구매하여 사용해봤습니다 심지어 오늘도착..!! # 오늘도착... 쇼핑 라이브를 통해 오전에 구매했더니... 오후 4시쯤에 도착했습니다;; 프리미엄 PWA-3400W 모델은 높이가 85cm로 생각 높은데... 눕히지 말라고 합니다..?? (언박싱 어떻게...?) 알고 보니 모든 박스 포장을 위로 뺄 수 있게 아래가 뚫려있었습니다. # 언박싱! 기본 구성품은 간단합니다. 구성품: - 파세코 프리미엄 PWA-3400W 본체 - 설치 구성품 - 설치 키트(에어컨 설치 틀?) - 에어컨 커버(얼리버드 이벤트) 설치 구성품에는 제품 ..

[넷플릭스] Netflix 프로필 PIN 설정 방법

가족 공유를 하든... 친구 공유를 하든... 누구랑 공유를 하든... 내 프로필을 누가 쓰는 게 싫은 경우 프로필에 전용 핀 번호를 설정해서 다른 사람의 접근을 막을 수 있습니다. # 로그인한 후 계정 페이지로 접속 넷플릭스에 로그인한 후, 본인의 프로필에 접속합니다. 우측 상단에 캐릭터를 클릭하고 아래 계정을 클릭합니다. # 프로필 잠금 페이지 접속 계정 페이지에 접속한 후 페이지 아래에 프로필 & 자녀 보호 설정 으로 내려가면 여러 프로필들이 있습니다. 본인의 프로필을 선택한 후 프로필 잠금 페이지에 접속하세요. # 프로필 핀 설정 프로필 잠금 페이지에 접속한 후, 계정 비밀번호를 입력하고 프로필의 핀 번호를 설정합니다. # 끝 이제 본인 프로필에 누군가가 접속할 때마다 설정한 핀 번호를 입력해야합..

[Docker, VPN] OpenVPN 대신 WireGuard 구축하기

집에서 OpenVPN으로 VPN 서버를 구축하려다가 WireGuard가 더 빠르다기에 도커에 WireGuard로 VPN 서버를 구축해봤습니다. # 왜 WireGuard? 기본적으로 VPN을 구축한다고 하면, 보안상 안전하고 많이 알려진 OpenVPN을 먼저 고려하게 됩니다. 저도 OpenVPN 구축 방법을 찾던 도중 안전하지만 느린 OpenVPN 대신 최신 암호화 알고리즘을 사용하면서도 속도가 빠른 WireGuard를 알게 되어 구축했습니다. - 속도 속도 비교를 보니... 확실히 WireGuard가 빠르네요. (출처: https://restoreprivacy.com/vpn/fastest/) - 암호화 알고리즘 최신 암호화 방식을 적용해서 안전하면서도 빠른 데이터 암호화를 제공한다고 합니다. 암호화 알고..

티스토리 애드센스 블록(AdBlock) 탐지 및 해제 요청 방법

이제는 AdBlock으로 광고 차단하는 게 당연해진 세상... (근데 불법사이트 같은 뉴스 사이트의 광고는 못 막음😢) BlockAdBlock 처럼 아예 못 보게 하는 건 도의에 어긋나는 거 같고... (일단 내가 당하면 빡침...ㅎㅎㅎ...) 내가 싫은 걸 강요할 수는 없기에 그냥 부탁 문구만 추가하는 스크립트를 작성해봄 # 원리 굉장히 간단하다. AdBlock 등이 실행되면 구글 애드센스 스크립트의 값들이 생성이 안되기 때문에, 호출하면 없다고 나타난다. 그럼 호출해보고 없다고하면...? AdBlock 때문에 막힌거다. # 기본 스크립트 위의 현상을 참고하여 기본 스크립트를 생성하면 다음과 같다. AdBlock이 탐지되면 어떻게 할 지 코드를 작성한 후, 완성된 스크립트를 티스토리 편집기의 HTML ..