• [모의해킹]블라인드 SQL 인젝션 실습하기 – DVWA Blind SQL Injection – Low Level

    블라인드SQL인젝션은 보통의 SQL 인젝션보다 더 어렵다. 당연히 SQL 인젝션이 유행하면서 많은 개발자들이 이에 경각심을 갖기 시작했고 시큐어코딩을 적용했다. 하지만 해커들의 열정은 웹사이트 개발자보다 월등히 높다. 해커들은 손쉬운 SQL인젝션이 통하지 않지만 제목에서도 알 수 있듯.. 깜깜한 어둠 속에서 손을 더듬어 가며 손에 닿는 감촉으로 무엇인가를 인식할 수 있듯.. DB에 접근할 것으로 추측되는 화면만 있으면 조회 결과가 화면에 보이지 않더라도 화면 조작의 결과가 화면에 표현되는 방식에 따라 그 결과를 추측하여 DB에 접 …

  • SQL인젝션 실습 – SQL injection – Medium Level

    지난 번에 설치한 웹 해킹을 실습할 수 있는 DVWA로 이런 저런 테스트를 하고 있다. 그 테스트 중 두번째가 SQL인젝션인데.. 일단 SQL인젝션 취약점이 발견되면 DB에 저장되어 있는 기업의 주요 기밀은 물론 고객의 개인정보 등 매우 치명적인 정보가 유출될 가능성이 크다. SQL 인젝션 (SQL Injection) 이란 SQL인젝션은 이용자에게 입력받은 다양한 조건 혹은 정보를 이용해 DB에서 정보를 조회해 이용자의 웹 브라우저에 출력하는 과정에서 발생할 수 있는 소스코드의 취약점을 공격하는 해킹기술이다. 웹서버에서는 이용자의 …

  • 웹 모의해킹 실습환경 구축

    정보보안전문가를 꿈꾸는 학생이나 직장인들이 가장 관심있는 분야 중 하나가 바로 웹해킹이다. 인터넷에 널리고 널린 것이 웹사이트이고 그 웹사이트를 뚫고 침투하는 것이 멋있어 보이기 때문이 아닐까 한다. 그런데 분명히 말하지만 그런 행위는 그냥  "도둑질"과 같다.  아니 그런 행위를 하는 사람은 그냥 도둑놈이고 절도범이며 무단침입 현행범이다. 한마디로 범법자다. 하지만 정보보안전문가라면 웹해킹도 분명히 배워야할 분야 중 하나다. 경찰이 도둑놈을 잡기위해서 도둑놈들의 습성과 기술을 이해하고 있어야 하듯 웹서버의 해킹을 방어하고 해커를 …

  • 버프스위트에서 SSL이 적용된 웹사이트의 HTTP Proxy 환경 설정하기

    HTTP PROXY 란? 웹 모의해킹에 필수적인 도구가 바로 프락시 툴이다. HTTP 프록시(Proxy)는 서버의 일종으로서 웹브라우저(IE, 에지, 크롬, 사파리 등)와 웹서버(Apache, Tomcat, NGINX 등)가 주고 받는 요청(Request)과 응답(Response)를 중간에 가로채고 분석할 수 있으며 전달 경로를 변경하거나 전달되는 값을 수정 및 변조할 수 있는 도구다. 때문에 HTTP Proxy 툴을 이용하면 암호화 되지 않은채 웹브라우저와 웹서버가 주고 받는 모든 정보를 가로채 볼 수 있다. 당연히 보안 취약점 …

  • 공인인증서 제도가 폐지되어야 하는 이유

    많은 사람들이 공인인증서는 반드시 폐지되어야 한다고 주장한다. 그리고 대부분의 사람들은 단지 "너무 불편"하다는 이유를 들어 공인인증서는 폐지되어야 한다고 말한다. 맞다. 너무 불편하고 짜증난다. 아직도 은행, 증권사를 비롯한 금융기관들은 공인인증서가 있어야 하고 이 공인인증서를 사용하기 위해 수 많은 별도의 프로그램을 PC에 설치해야 한다. 그리고 그 프로그램들은 PC의 성능을 저하시키고 원인을 알 수 없는 수 많은 에러를 유발하기도 한다. 대한민국의 공인인증서란? "지구에서 유일하게 전 국민에게 사용을 강요하는 개인의 신원 보증 …

  • 개인정보 유출사고, 과징금 수위 높아진다.

    기업은 개인정보 유출사고가 발생하면 일단 몸을 낮추고 고객은 물론 모든 네티즌들에게 사과한다. 그리고 경찰 및 조사기관의 사고조사에 적극 협조하겠다고 한다. 그리고 방송통신위원회는 과태료와 과징금 수준을 결정하고 부과한다. 기업의 태도는 돌변한다. 대부분 과태료 보다는 징벌적 처분인 과징금이 과하다고 징징대고 행정소송을 제기한다. 법원은 기업이 내민 이런저런 소명자료와 핑계를 들여다 보고 과징금이 과하다며 절반이상 씩 감면해 준다. 이 스토리는 일반적으로 기업들이 사고를 쳤을 때 쉽게 찾아볼 수 있는 기업과 검경과 법원이 짜고치는 …

  • [전자금융감독규정] 서버 운영체제 계정 접속 시 2차 인증 의무 규정

    금융기관의 내부시스템 접근권한을 갖고 있는 사용자들에 의한 개인정보유출사고가 빈번하게 발생하자 금융기관 내부망에 위치한 서버 접근통제를 위한 추가적인 보호 대책이 2014년에 제시됐다. 네트워크, 개인 업무용 컴퓨터의 보안을 강화하고 또 강화했지만 서버에 접근권한을 부여받은 관리자, 개발자, 외부 인력에 의한 개인정보 유출사고가 빈번하게 발생하자 서버 접속 시 강화된 보안 대책의 필요성을 느꼈기 때문이다. 항상 그렇듯 소 잃고 외양간 고치기 식의 보안 강화이긴 하지만 뒤늦게 라도 서버에 에 대한 강화된 접근통제 필요성을 인지했다는 …

  • 저작권 침해 관련 메일로 가장한 악성코드 유포 시도 증가

    피싱 메일은 악성코드를 감염시키는 가장 손쉬운 방법 중 하나다. 얼마 전 경찰청을 사칭하는 이메일을 통해 "너 고소당했어"를 시전하며 고소장으로 가장한 악성코드 첨부파일이 포함된 피싱메일을 받았다는 포스트를 올린적이 있다. ( 보러가기) 해커들이 피싱메일을 무작위로 뿌려대는 목적은 시기에 따라 시시각각 변한다. 초창기에는 특정 웹사이트(대기업 또는 포탈, 공공기관 등)를 목표로 해커 대신 DDOS공격을 해줄 좀비PC를 확보하기 위한 경우가 많았다. 따라서 피싱메일에는 첨부파일로 가장한 DDOS 공격도구가 담겨져 있었다. 하지만 시대 …

  • 경찰청을 사칭하는 온라인 명예훼손 피싱메일을 받다.

    오늘은 일정이 없어 여유롭게 커피한잔을 마시며 이메일을 확인하려 노트북을 켰다. 그런데.. "온라인 명예훼손 출석통지서"라는 제목의 이메일 한통이 눈에 띄었다. 보낸이는 경찰청...!! 당연히..나름 부지런하게 일하는 네이버포탈에서는 "시스템차단"이라는 태그를 달아 스팸메일함으로 분류하고 있었다. 요즘 경찰청을 사칭하며 이런 저런 사건 수사를 한다며 "너 고소 당했으니 출석해~~"라는 막무가내 식 메일을 악성코드를 첨부해 보낸다는 소문은 들었지만 직접 받아보긴 처음이었다. 포털메일시스템에서 자동으로 분류되기에 망정이지 컴알못인 사람 …

  • [ISMS-P]개인정보처리 위탁 동의를 받는 방법 (정보통신망법과 개인정보보호법의 차이)

    지난 번에 개인정보보호법과 정보통신망법의 주요 차이점에 대해 포스팅한 적이 있습니다. (여기) 지난 번 포스팅에 이어 이번에도 두 법령의 차이점에 대한 포스팅 입니다. 온라인과 오프라인에서 개인정보를 수집할 때에는 개인정보보호법과 정보통신망법에서 규정하고 있는 개인정보 수집·이용 동의 방법을 적용하여 이용자(정보주체)의 동의를 받아야 합니다. 그런데... 동의를 받는 방법 중에서 "개인정보처리 위탁"에 대한 동의를 개인정보 수집·이용 동의와 구분하여 별도로 받아야 하는가에 대한 규정이 정보통신망법과 개인정보보호법에서 미묘하게 차이가 …