Database

데이터베이스 초기 보안 설정

Linux 쉘에서)mysql_secure_installation Enter current password for root (enter for none):# 현재 암호 입력(초기엔 없으므로 엔터 입력) Switch to unix_socket authentication [Y/n] n# 관리자 암호 활성화 Change the root password? [Y/n] Y# 관리자 암호 생성 Remove anonymous users? [Y/n]  Y# 익명계정 삭제 Disallow root login remotely? [Y/n] Y# 관리자계정 원격접속 차단 Remove test database and access to it? [Y/n] Y# 테스트 데이터베이스 제거 Reload privilege tables now..

2024. 9. 26. 15:57

InfoSec

데이터베이스 보안

▶ 비인가자의 데이터베이스 SQL에 따라 저장된 데이터를 변조하거나   탈취하여 개인정보를 유출▶ DBMS에 취약한 네트워크 설정으로 인해 외부에서 접근하여 해킹▶  ☞ 가용성 : 서비스를 제공하는데 끊임이 없어야 한다.         - 서비스 거부 공격 -> DDoS         - 무차별 대입 공격 -> Brute Force     => 데이터베이스 이중화☞ 기밀성 : 인가되지 않은 보안 열람 금지         - 데이터베이스 계정 정보 유출         - 데이터베이스 데이터 유출     => ☞  무결성 : 데이터의 결함이 없어야 한다         - 데이터 변조     => 데이터베이스 네트워크 보안 설정 ▶ 데이터베이스 공격 유형  1) 웹 서비스와 데이터베이스를 연동하는 과정에서  ..

2024. 9. 26. 10:44

InfoSec

웹서버 보안 강화 - HTTPS 사용

HTTP 보안 취약점 확인 웹서버의 게시판에 로그인하는 과정을 Wireshark로 캡쳐하였습니다. 이후 게시판에 로그인한 패킷(POST /board/login_chk.php)을HTTP를 오른쪽 클릭 -> Follow -> HTTP Stream을 선택합니다.  확인결과 서버와 클라이언트가 주고받은 패킷을 제한없이 볼 수 있으며암호화나 보안이 되어있지 않고 평문으로 전송됨을 알 수 있습니다. 이런 HTTP의 취약점을 보완하기 위해 도입된 것이SSL/TLS를 사용한 HTTPS 프로토콜입니다.  HTTPS 보안 서버 구축사용자 로그인 및 중요한 데이터를 처리하기 위하여SSL/TLS를 적용하여 통신되는 패킷을 안전하게 암호화 처리할 수 있습니다.  ▶ 공인인증서 : 공식기관에서 제공 --> 공식 도메인▶ 사설인증..

2024. 9. 25. 15:53

InfoSec

웹서버 보안 강화 - 파일 정리, 메서드 제한, 방화벽 설치

필요 없는 파일을 정리하여 보안 강화웹서버 폴더 내의 파일들을 확인했을 때현재 운영중인 board(게시판) 폴더를 제외하면사용하고 있지 않은 불필요한 파일들이 존재하므로이 파일들을 제거해주는 것이 안전합니다.  또한 서버에 저장되어 있는 파일들은유추하기 어려운 이름을 사용하는 것이 보안에 유리합니다.  웹서버에 사용 가능한 메서드 제한 curl -i -X OPTIONS http://localhost로 웹 서버의 정보를 확인한 결과 사용 가능한 메서드 방식이 GET,POST,OPTIONS,HEAD로 확인되었습니다. GET,POST는 웹서버에 꼭 사용되어야 하는 메서드이므로 둘을 제외한나머지 메서드는 차단하도록 설정하여 보안을 강화할 수 있습니다. gedit /etc/apache2/apache2.conf #..

2024. 9. 25. 14:04

InfoSec

웹서버 보안 강화 - 접근제어 및 로그확인

특정 IP 또는 IP대역을 허가하거나 차단할 수 있습니다. gedit /etc/apache2/apache2.conf # 182라인부터 구문 추가                         Require all granted                 Include /etc/apache2/ipblacklist.conf         이후 /etc/apache2/ipblacklist.conf 파일을 생성하여차단하고 싶은 IP를 넣어줍니다. 이후 apache2 데몬을 재시작하면 해당 ip의 서버 접근이 차단됩니다.  실시간으로 접속 로그 및 차단 로그 확인하기tail -f /var/log/apache2/access.log 접속 시도하는 기록이 실시간으로 갱신됩니다.  tail -f /var/log/apach..

2024. 9. 25. 11:34

InfoSec

웹서버 보안 강화 - 정보 노출 차단

기본적으로 웹서버 배포판은 운영되고 있는 정보가 노출되어해당 버전의 취약점을 이용한 공격을 받을 수 있다.  ▶ 1. 게시판 웹서버에 접속 ▶ 2. 개발자 도구를 연다(F12) ▶ 3. 개발자 도구 > Network 탭 선택 후 새로고침 ▶ 4. *.php 파일을 클릭하면 우측에 정보가 출력된다. ▶ 5. Network > 우측메뉴 (Headers) > Response Headers(응답 헤더)를 확장하면   웹서버가 구동되고 있는 운영체제의 버전을 확인할 수 있다. Server: Apache/2.4.52 (Ubuntu)   웹서버 정보 노출 차단하기gedit /etc/apache2/apache2.conf # 마지막 라인에 구문 2줄 추가ServerTokens Prod   # 웹서버 정보 노출 최소화Se..

2024. 9. 25. 11:15