프로그래밍과 유용한 정보

GS 인증을 하면 "결함리포트"라는 것을 받습니다. 결함리포트 중 "약한 블록 암호화 모드 활성" 취약점이 있습니다. 내용은 다음과 같습니다. 보안 통신(SSL) 시 약한 블록 암호화 방식이 활성화됨 TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) TLS_RSA_WITH_AES_128_CBC_SHA (0x002F) TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0084) TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0041) TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xC014) TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xC013) TLS_RSA_WITH_AES_256_CBC_SHA256 (0x0..

GS 인증을 하는데, 아래와 같은 보안취약점이 발견됐습니다. 보안 통신(SSL) 시 약한 블록 암호화 방식이 활성화됨 TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) TLS_RSA_WITH_AES_128_CBC_SHA (0x002F) TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0084) TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0041) TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xC014) TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xC013) TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003D) TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003C) ..

1. openssl 설치 1.1. Linux Linux는 openssl이 이미 설치되어 있지만, 최신 버전으로 업그레이드를 하려면 다음 주소를 참고하면 됩니다. [Linux] CentOS 7 OpenSSL 업데이트 하는 방법 안녕하세요. 주식회사 서버몬 입니다. 오늘은 CentOS 7 버전을 기준으로 OpenSSL 을 업데이트 하는 방법에 대해서 알아보겠습니다. OpenSSL 은 OS 내 SSL/TLS 과 관련된 데몬 입니다. 취약점 공격 대상으로 servermon.tistory.com 1.2. Windows 아래 페이지에 방문하여 MSI를 받아서 설치하면 됩니다. https://slproweb.com/products/Win32OpenSSL.html Win32/Win64 OpenSSL Installer ..

SQL Injection 공격의 유형 중에 Blind Injection이라는 것이 있습니다. SQL Injection은 흔하게 들어봤는데, Blind SQL Injection은 얼마 전 GS 인증을 진행하며 처음 알게 되었습니다. Blind SQL Injection은 무엇일까요? Blind SQL Injection이란? Blind SQL(Structured Query Language) 주입은 데이터베이스에 참 또는 거짓 질문을 하고 애플리케이션 응답에 따라 답을 결정하는 SQL 주입 공격 유형입니다. 이 공격은 웹 애플리케이션이 일반 오류 메시지를 표시하도록 구성되었지만 SQL 주입에 취약한 코드를 완화하지 않은 경우에 자주 사용됩니다. 공격자가 SQL 인젝션을 악용할 때 때때로 웹 애플리케이션은 SQL..

레인보우 테이블 공격이 등장하며 단순한 SHA256등의 암호화 방식으로는 보안에 취약해졌습니다. 그래서 현재 소프트웨어 GS인증을 받기 위해서는 Salt 암호화가 필수인데요. Salt 비밀번호 암호화 방식의 대표인 Bcrypt를 소개합니다. 비밀번호 암호화에 Hash 함수를 사용하는 이유 Hash 함수는 단방향 암호화 방식입니다. 흔하게 볼 수 있는 Hash 함수는 MD5, SHA256, SHA512 등이 있습니다. 비밀번호 암호화 방식에 Hash함수를 사용하는 이유는 다음과 같습니다. 복호화가 어렵다. 비용이 적게 든다.(RSA에 비해) Salt의 등장 배경 - 레인보우 테이블 일반적으로 Hash값은 복호화가 되지 않기 때문에 무직하게 대입을 해서 비밀번호를 찾으려고 하면 엄청난 시간이 걸립니다. 10..

HTTPS로 웹 서비스를 올렸는데, 사용자가 HTTP로 접근하는 경우가 있습니다. 이 경우 보통 설정에서 HTTPS로 리다이렉트 시켜주는 경우가 많습니다. 하지만 이 리다이렉션 자체가 보안에 취약점이 될 수 있습니다. HTTP 요청을 가로채서 암호화되지 않은 정보를 볼 수 있기 때문입니다. 하지만 HSTS는 언제나 HTTPS를 강요하기 때문에 이를 방지할 수 있습니다. 그렇다면 HSTS란 무엇일까요? HSTS(HTTP Strict Transport Security)란? 대부분의 웹 브라우저는 HSTS헤더(예: Strict-Transport-Security: max-age=15552000)를 발견하면 HTTPS(HTTP over Secure Socket Layer)로만 통신을 제한한다. 이는 SSL Str..

회사에서 GS 인증을 받던 중, 비밀번호에 SALT를 적용해야 GS 인증을 받을 수 있다고 연락을 받아서 관련 내용을 정리해 보았습니다. 암호 SALT는 패스워드 크래킹을 방지하기 위한 가장 널리 알려진 방법입니다. 그렇다면 패스워드 크래킹이 무엇일까요? password cracking 패스워드 크래킹의 목적은 컴퓨터 시스템에 무단 접근을 통해 권한을 얻거나 잊어버린 암호를 복구하기 위해 사용합니다. 해커가 시스템을 통해 해킹할 수 있도록 테스트 암호 강도를 위한 기술은 크래킹 암호를 사용하는 또 다른 이유가 될 수 있습니다. 일반적으로 반복적 작업이나 일정한 패턴, 등을 통해 알아내기도 합니다. 패스워드 크래킹은 해킹 기법 중 난이도는 낮지만 가장 강력한 공격입니다. 패스워드 크래킹의 종류는 다음과 같..