728x90 반응형 보안57 SQL 삽입 외부 입력값에 쿼리 조작 문자열 포함 여부를 확인하지 않고 쿼리문(SQL) 생성 및 실행에 사용하는 경우 발생 → 쿼리문의 구조와 의미가 변형되어서 실행 ⇒ 권한 밖의 데이터에 접근이 가능 ⇒ DBMS 서버의 제어권 탈취 ⇒ 쿼리 실행 결과를 우회한 처리 [대응방안] 정적쿼리를 사용(실행) = PreparedStatement 객체를 사용 = 구조화된 쿼리 실행 = 파라미터화된 쿼리 실행 동적쿼리를 사용해야 하는 경우, 입력값 검증 후 사용 = 쿼리 조작 문자열 포함 여부를 확인 후 사용 애플리케이션에서 사용하는 DB 사용자의 권한을 최소로 부여 → Stored Procedure를 이용한 SQLi 공격 또는 Union-Based SQLi 공격을 완화 오류 메시지에 시스템 정보가 노출되지 않도록 통제 → E.. 2019. 10. 1. 06 패스워드 관리 패스워드는 가장 기본적인 인증 방법으로, 적절한 강도를 가진 상태로 설정하고 패스워드 정책에 따라 적절히 보호해야 한다. 참고자료 패스워드 선택 및 이용 안내서 http://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=32 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 www.kisa.or.kr 077 안전한 패스워드 안전한 패스워드란, 제3자가 쉽게 추측할 수 없으며, 시스템에 저장되어 있는 사용자 정보 또는 인터넷을 통해 전송되는 정보를 해킹하여 사용자의 패스워드를 알아낼 수 없거나 알아낸다 하더라도 많은 시간이 요구되는 패스워드를 말합니다. 세가지 종류 .. 2019. 4. 29. 05 계정 관리 (UNIX, LINUX) UNIX 계열의 시스템에서는 기본 관리자 계정으로 root가 존재하며, 계정 목록은 /etc/passwd 파일에서 확인할 수 있습니다. passwd 파일 계정 정보 /etc/passwd 파일에 저장 ubuntu@ubuntu-VirtualBox:~$ cat /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin man:x:.. 2019. 4. 28. 04 계정 관리 (windows) 관리자 그룹(administrators) 관리 관리자 그룹(administrators)에는 관리자 권한이 필요한 사용자(예: administrator)를 제외하고는 포함하지 않는다. 관리자 그룹(administrators) 구성원은 해당 컴퓨터에 대해 모든 권한을 갖기 때문에 구성원 수를 제한한다. 관리자 그룹에 소속된 계정 확인 및 삭제 로컬 사용자 및 그룹 관리 콘솔 실행(lusrmgr.msc) > 그룹 > Administrators 그룹 선택 > 마우스 오른쪽 클릭 후 속성 메뉴 클릭 > 구성원 선택 > 제거 버튼 클릭 명령 프롬프트 (관리자 권한으로 실행) > net localgroup administrators > net 불필요한 계정 관리 사용하지 않는 계정, 불필요한 계정, 의심스러운 계정이.. 2019. 4. 28. 이전 1 ··· 10 11 12 13 14 15 다음 728x90 반응형
