OWASP는 웹 취약점을 정기적으로 발표하는 비영리 조직이다. 수익을 추구하지 않기 때문에, 기부를 통해 운영되고, 웹 취약점은 물론 다양한 취약점들에 대한 연구를 지원하며, 컨퍼런스도 개최한다. 국내지부에서도 모임을 개최하고 있지만, 코로나19의 영향으로 2019년 모임 이후에는 개최되지 않고 있다고 하나 이제 슬슬 모임이 열리지 않을까 기대해 본다. 또한 OWASP는 웹취약점 10개항목에 대한 취약점 대응내용을 설명하고 있기도 한다. OWASP를 읽을 때는 오와삽 이라고 읽으면 된다. [OWASP TOP 10 2021 목록 A1 : Broken Access Control(취약한 접근 제어: 권한/인가)] 접근 제어(Access Control)는 사용자가 권한을 벗어난 행동을 할 수 없도록 정책을 만들..

무차별대입공격에 대한 방어, 로그인에 대한 Multi-factor 인증이나 2차 인증 구현, 안전한 비밀번호 생성 정책 등의 내용이 들어 있는 "보안 프로젝트"가 있어 소개하고자 한다. 웹 어플리케이션을 개발하면서 고려해야 하는 보안상의 취약점을 정리하는 내용이기도 한데, 바로 OWASP 이다. [OWASP 소개] OWASP란 'The Open Web Application Security Project'의 약어로 '오픈소스 웹 어플리케이션 보안 프로젝트'이며 주로 웹에 대한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하는 프로젝트 이름 겸 비영리 보안 프로젝트 재단을 통칭하는 약자이다. 해당 OWASP Top 10 목록은 2001년 12월 1일에 OWASP 재단으로 발족한 이후, 2004..

4년 전 즈음(2018.06)에 "무차별 대입공격(Brute Force Attack)"이 국내 대형 은행을 겨냥해 시도' 되었었다. 이 사건은 적어도 당시에 사건 관련자들이 밝혔던 내용에서는 다행히 실제 금전적인 피해로 까지는 이어지지는 않았다고, 공인인증서나 OTP가 해킹된 것이 아닌 만큼 출금/이체와 같은 서비스는 건드리지 못했을 거라고 했었지만, 정보유출이라는 측면에서는 꽤나 성공적이어서 고객 정보 56,000건이 유출되었었다. 해커들 사이에서 오래된 공격 방법이지만, 단순하고 자원이 많이 들지 않기 때문에 여전히 효과적인 "무차별 대입공격(Brute Force Attack)"에 대한 방어와 대응책으로는 무엇이 있을까? [무차별 대입 공격을 방어하는 방법] 어느 한 가지 방법으로 무차별 대입 공격을..

많은 악성코드의 유형과는 달리 무차별대입공격(Brute Force Attack)은 웹사이트의 취약점에 의존하지 않는 공격이다. 해당 공격은 취약하거나 빼낼 수 있는 자격 증명을 가진 사용자를 목표로 하므로 무차별대입공격(Brute Force Attack)은 단순하면서도 많은 표적을 대상으로 할 수 있는 것이다. [무차별대입공격의 대상은 누구?] 암호만이 무차별 공격의 대상이 아니며, 링크와 디렉토리, 사용자 이름 및 이메일은 또 다른 일반적인 대상이 될 수 있고, 무차별대입공격(Brute Force Attack)의 목적은 다른 사용자에게는 허용되어 있지 않은, 접근금지되어 있는 리소스에 액세스 하는 것이므로, 관리 계정, 암호로 보호된 페이지일 수 있거나 다른 사람의 웹메일내용을 보는 것이 될 수도 있다..