정보보안 스토리

1. 계정관리 04. group 파일 권한 설정 가. 상세 설명 Group 파일을 일반사용자가 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능하다. Group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타사용자의 쓰기 권한을 제한하여야 한다. 나. 진단기준 양호 : /etc/group 파일의 소유자가 root(또는 bin)이고 권한이 644(rw-r--r--)인 경우 취약 : /etc/group 파일의 소유자가 root(또는 bin)가 아니거나 타사용자에게 쓰기 권한 및 접근 권한이 존재할 경우 다. 진단방법 ■ /etc/group 파일의 접근권한 확인 # ls –al /etc/group 라. 조치방안 ■ ..

1. 계정관리 01. passwd 파일 권한 설정 가. 상세 설명 “/etc/passwd” 파일의 접근권한을 제한하고 있는지 점검한다. 파일의 설정 상의 문제점이나 파일 permission 등을 점검하여 관리자의 관리상의 실수나 오류로 발생 할 수 있는 침해사고（일반 사용자 권한 /root 권한 획득）의 위험성을 점검한다. 나. 진단기준 양호 : 패스워드 파일의 소유자가 root이고 권한이 644(rw-r—r--)인 경우 취약 : 패스워드 파일의 소유자가 root가 아니거나 타사용자에게 쓰기 권한 및 접근권한이 존재할 경우 다. 진단방법 ■ /etc/passwd 파일의 접근권한 확인 # ls –al /etc/passwd 라. 조치방안 ■ /etc/passwd 파일의 권한 변경 # chmod 644 /et..

1. 계정관리 01. Default 계정 관리 가. 상세 설명 시스템 관리자는 root계정을 포함하여 모든 계정의 의심가는 디렉터리 및 파일을 정기적으로 조사하여 삭제하며, 주기적으로 불필요한 사용자 계정을 조사하여 제거하는 것이 보안상 필요하다. 나. 진단기준 양호 : root 및 시스템 계정(darmon, bin, adm, uucp, nuucp, lp, hpdb 등)을 제외하고 UID가 0인 계정이 존재하지 않는 경우 취약 : root 및 시스템 계정(darmon, bin, adm, uucp, nuucp, lp, hpdb 등)을 제외하고 UID가 0인 계정이 존재하는 경우 다. 진단방법 ■ /etc/passwd 파일의 필드 3번째 값 확인(UID=0 인지 확인) # cat /etc/passwd (예시..

1. 계정관리 01. Default 계정 관리 가. 상세 설명 시스템에서 이용하지 않는 Default 계정 및 의심스러운 특이한 계정의 존재 유무를 검사하여 삭제한다. 대부분의 시스템에서 사용하지 않는 것이 확실한 아래의 계정들과 의심스러운 계정을 삭제하도록 하며 일반적으로 로그인이 필요치 않은 시스템 계정들은 로그인을 금지시킨다. OS나 Package 설치 시 Default로 생성되는 계정은 대부분 Default 패스워드를 사용하는 경우가 많으며 패스워드 추측공격에 악용될 수 있다. 나. 진단기준 양호 : 0S 나 Package 설치 시 기본으로 생성되는 불필요한 계정이 존재하지 않을 경우 취약 : 0S 나 Package 설치 시 기본으로 생성되는 불필요한 계정이 존재할 경우 다. 진단방법 ■ lp, ..

Internet of Things (IoT) Top 10 2014 I1 Insecure Web Interface I2 Insufficient Authentication/Authorization I3 Insecure Network Services I4 Lack of Transport Encryption I5 Privacy Concerns I6 Insecure Cloud Interface I7 Insecure Mobile Interface I8 Insufficient Security Configurability I9 Insecure Software/Firmware I10 Poor Physical Security Internet of Things (IoT) Top 10 2018 I1 Weak Guessable..

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 7절 API 오용 의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점이다. 2. 취약한 API 사용 가. 개요 취약한 API는 보안상 금지된(banned) 함수이거나, 부주의하게 사용될 가능성이 많은 API를 의미 한..

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 7절 API 오용 의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점이다. 1. DNS lookup에 의존한 보안결정 가. 개요 공격자가 DNS 엔트리를 속일 수 있으므로 도메인명에 의존에서 보안결정(인증 및 접근통제..

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 6절 캡슐화 중요한 데이터 또는 기능성을 불충분하게 캡슐화하거나 잘못 사용함으로써 발생하는 보안약점으로 정보노출, 권한문제 등이 발생할 수 있다. 5. Private 배열에 Public 데이터 할당 가. 개요 public으로 선언된 메소드의 인자가 private선언된 배열에..

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 6절 캡슐화 중요한 데이터 또는 기능성을 불충분하게 캡슐화하거나 잘못 사용함으로써 발생하는 보안약점으로 정보노출, 권한문제 등이 발생할 수 있다. 4. Public 메서드로부터 반환된 Private 배열 가. 개요 Private 배열을 Public 메서드가 반환하면, 배열 ..

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 6절 캡슐화 중요한 데이터 또는 기능성을 불충분하게 캡슐화하거나 잘못 사용함으로써 발생하는 보안약점으로 정보노출, 권한문제 등이 발생할 수 있다. 3. 시스템 데이터 정보노출 가. 개요 시스템, 관리자, DB정보 등 시스템의 내부 데이터가 공개되면, 공격자에게 또 다른 공격..