정보보호 한잔

안녕하세요. 실더입니다. 기업 네트워크를 운영하는 관리자라면 장비의 End-of-Life (EoL, 지원 종료) 일정을 반드시 확인해야 합니다. EoL 이후에는 보안 패치나 기술 지원이 중단되어 보안 위험이 커지죠. 이 글에서는 L3 스위치, L4 로드 밸런서, 라우터 분야에서 가장 많이 쓰이는 장비와 제조사(Cisco, Juniper, F5, Citrix, A10, Arista)를 정리하고, 각 회사의 EoS/EoL 확인 링크를 정리해 보았습니다. 업무에 참고하시기 바랍니다.(제 활용 목적도 있습니다. ^^)1. Cisco: 네트워크 장비의 왕좌, 1등 제조사! 다만 그만큼 가격이..시장 점유율: ~50% (Gartner, IDC 기준)Cisco는 L3, L4, 라우터 시장의 절대 강자예요. 품질은 믿..

안녕하세요, 실더입니다. 최근 프로젝트에서 TLS 인증서 적용을 다루다 중간 인증서(Intermediate CA)를 등록하지 않아도 "보안상 문제없이 작동은 한다"는 의견을 들었어요. 실제로 일부 환경에서는 보기엔 정상적으로 보이지만, 이는 보안의 큰 구멍을 만들 수 있습니다. 오늘은 PEM(서버 인증서) + Key만으로 TLS를 적용할 때 발생하는 문제, 특히 MITM(Man-in-the-Middle) 공격 시나리오를 구조적으로 분석해 보겠습니다. 실제로 SSL Labs 데이터에 따르면, 전 세계 사이트 20%가 체인 문제로 A 등급 미달인 상태입니다. (참고: NIST SP 800-52, SSL Labs 데이터)왜 중간 CA가 필요한가?TLS 인증서는 "신뢰 체인(Chain of Trust)"으로 작..

1. Intro최근 국내외 리눅스 시스템을 대상으로 BPFDoor 악성코드 위협이 확대됨에 따라, 다양한 BPFDoor 악성코드 유형을 확인할 수 있는 점검 가이드를 공개 2. 점검가이드1. BPFDoor 악성코드 감염여부 점검 방법 1.1 악성코드 뮤텍스/락(Mutex/Lock) 파일 점검 1.2 악성코드 자동 실행 파일 점검 1.3 BPF(Berkeley Packet Filter) 점검 (가이드 內 ‘[붙임1] BPF 점검 스크립트’ 활용) 1.4 RAW 소켓 사용 점검 1.5 프로세스 환경변수 점검 (가이드 內 ‘[붙임2] 환경변수 점검 스크립트’ 활용) 1.6 특정 포트 확인 및 네트워크 장비를 이용한 패킷 점검2 BPFDoor 컨트롤러 감염여부 점검 방법 2.1 실행 중인 프로세..

NO구분전자금융기반시설 항목점검 분류비고1(전자금융) 거래 인증[전자금융] 거래 인증수단 검증 오류웹/앱/HTS결제 기능 대상(전자금융 대상)2(전자금융) 거래정보 검증[전자금융] 거래정보 무결성 검증웹/앱/HTS결제 기능 대상(전자금융 대상)3(전자금융) 거래정보 검증[전자금융] 거래정보 재사용 웹/앱/HTS결제 기능 대상(전자금융 대상)4(전자금융) 거래정보 검증[전자금융] 거래시 소유주 확인 여부웹/앱/HTS결제 기능 대상(전자금융 대상)5(전자금융) 거래 인증[전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부웹/앱/HTS결제 기능 대상(전자금융 대상)6(전자금융) 거래 인증[전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부웹/앱/HTS결제 기능 대상(전자금융 대상)7(전자금융) 단말 보안..

1. 개요 사용자 브라우저에 검증되지 않은 외부 입력값을 허용하여 악의적인 스크립트가 실행 가능한 보안약점2. 보안대책 - 문자열 치환 함수 사용: 문자열 치환 함수를 사용하여 & " ' /( ) 등을 & < > " ' / ( )로 치환- 알려진 보안 라이브러리 사용: JSTL 또는 잘 알려진 크로스 사이트 스크립트 방지 라이브러리(Lucy-XSS-Filter, OWASP ESAPI) 사용- 정규식 사용: 입력값에 대해 정규식을 이용하여 정확하게 허용되는 패턴의 데이터만 입력되도록 한다.- XSS 필터 사용: 서버로 들어오는 모든 요청에 대해 XSS 필터를 적용하여 안전한 값만 전달되어 사용되도록 한다.- 출력값 인코딩, XSS필터 적용: 출력값에..

1. 개요시스템 자원 접근경로나 자원제어 명령어에 검증되지 않은 외부 입력값을 허용하여 시스템 자원에 무단 접근 및 악의적인 행위가 가능한 보안약점 - 진단방법(경로조작)파일객체를 사용하는지 확인하고, 파일에 대한 접근이 외부에서 직접 접근하는지 확인한다. 외부 입력 값이 경로 순회 문자열에 대한 제거없이 사용되면 경로의 변경이 가능하게 되어 취약하다.- 진단방법(자원삽입)파일명, 소켓 포트 등과 같이 자원을 사용하는지 확인하고, 자원에 대한 외부 직접 접근 여부를 확인한다.2. 보안대책- 유효성 검사: 외부입력값을 자원의 식별자로 사용하는 경우, 철저히 검증을 수행한 후 사용한다. - 화이트리스트: 사용자별 사용 가능한 자원을 사전에 리스트로 정의하여 사용 범위를 제한한다. - 위험문자 필터: 파일을 ..

1. 개요프로세스가 외부 입력 값을 코드(명령어)로 해석·실행할 수 있고 프로세스에 검증되지 않은 외부 입력 값을 허용한 경우 공격자에 의해 악의적인 코드가 실행 가능한 보안약점 2. 보안대책 - 취약한 함수 사용 지양: 동적코드를 실행할 수 있는 함수를 사용하지 않는다. - 화이트리스트: 실행 가능한 동적코드를 입력 값으로 받지 않도록, 외부 입력 값에 대하여 화이트리스트 방식으로 구현한다.- 유효성 검사: 유효한 문자만 포함하도록 동적 코드에 사용되는 사용자 입력 값을 필터링한다. 3. 코드예제※ 아래 예제들은 KISA의 소프트웨어 개발보안 가이드, SW 보안약점 진단가이드의 예제를 옮겨놓았습니다. [안전하지 않은 코드 - JAVA]//취약예시1public class CodeInjectionContr..

1. 개요 데이터베이스(DB)와 연동된 웹 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안약점 2. 보안대책 - 정적 쿼리 사용: PreparedStatement 객체를 이용하여 컴파일 된 정적 쿼리문(상수)으로 쿼리문의 구조가 외부의 값을 통해 바뀌지 않도록 한다. C#에서는 @, MyBatis에서는 #, JAVA 에서는 ?을 이용하여 파라미터 바인딩을 사용한다.- 유효성 검사: 동적 쿼리를 사용해야 한다면, 입력값에 대하여 쿼리문의 구조를 변경할 수 있는 특수문자 및 쿼리 예약어를 검사(필터링)한 후 쿼리문 생성에 사용한다. - 보안 모듈 사용: 스트러츠(Struts), ..

구분설계 항목보안약점입력 데이터 검증 및 표현(10개)DBMS 조회 및 결과 검증- SQL 삽입XML 조회 및 결과 검증- XML 삽입 - 부적절한 XML 외부개체 참조디렉토리 서비스 조회 및 결과 검증- LDAP 삽입시스템 자원 접근 및 명령어 수행 입력값 검증- 코드 삽입 - 경로 조작 및 자원 삽입 - 서버사이드 요청 위조 - 운영체제 명령어 삽입웹 서비스 요청 및 결과 검증- 크로스사이트 스크립트(XSS)웹 기반 중요 기능 수행 요청 유효성 검증- 크로스사이트 요청 위조(CSRF)HTTP 프로토콜 유효성 검증- HTTP 응답분할 - 신뢰되지 않은 URL주소로 자동접속 연결허용된 범위내 메모리 접근- 메모리 버퍼 오버플로우 - 포맷 스트링 삽입보안기능 입력값 검증- 보안기능 결정에 사용되는 부적절..

1. Intro Yealink IP 전화기 중 특정 버전에서 디렉터리 트레버셜 취약점이 존재합니다. 해당 취약점을 통하여 공격자는 서버의 특정 파일의 내용을 읽어 정보를 습득하거나 서비스거부(DOS) 공격을 일으킬 수 있습니다. 2. Detail 해당 취약점은 Yealink IP 전화기의 연락처 파일 업로드 인터페이스에서 발생되었습니다.//파일 읽어오기https://{IP}/servlet?m=mod_data&p=contacts-preview&q=load&handsetid=7&filename={file}//버전 정보 확인하기https://{IP}/servlet?m=mod_listener&p=login&q=loginForm&jumpto=status 무엇보다 공격 방법이 굉장히 쉬운데, 위와 같이 IP pho..