요즘 같은 정보화시대에서 "해킹" 처럼 무서운 단어들이 많이 들리고 있다. 따라서 개인의 정보를 보호하는 것이 기본에 필수인 시대가 되어 버렸다. 다양한 해킹 예방방법이 있겠지만, 개인이 해킹을 예방하는 가장 쉬운 방법은 비밀번호를 철저하게 관리하는 것에서부터 시작하는 것이고, 비밀번호를 정해서 사용할 때 난이도를 높여서 생성하면 해킹에 대한 예방률이 더더더 올라갈 것이다. 그래서 오늘은 비밀번호를 작성하는 규칙과 어떻게 어려우면서도 기억하기 편하게 만들 수 있는지 안전한 패스워드 생성TIP에 대해서 기초적인 내용을 알아보도록 하자. 참고로, 우리나라에서 한국인터넷진흥원(KISA)이 안전한 패스워드 설정 방법, 패스워드 보안 지침 등을 소개하는 '패스워드 선택 및 이용 안내서'를 배포하고 있다. > 한국..

2021년 9월 24일에 발표한 ‘OWASP 오와삽 Top 10 2021’에서 2017년도와 비교했을 때의 큰 변화는 아래와 같다. Injection이 최상위에서 내려와서 3위가 되었으며, 최상위 취약점은 Broken Access Control이 되었음. XSS가 단일항목에서 Injection 하위로 포함되었음. XXE가 단일항목에서 Security Misconfiguration 하위로 포함되었음. Insecure Deserialization이 단일항목에서 Software and Data Integrity Failure 하위로 포함되었음. ‘OWASP 오와삽 Top 10 2021’에 대해 2번째로 A05부터 A10까지 살펴보도록 하자. [A5 : Security Misconfiguration (보안 설정..

OWASP는 웹 취약점을 정기적으로 발표하는 비영리 조직이다. 수익을 추구하지 않기 때문에, 기부를 통해 운영되고, 웹 취약점은 물론 다양한 취약점들에 대한 연구를 지원하며, 컨퍼런스도 개최한다. 국내지부에서도 모임을 개최하고 있지만, 코로나19의 영향으로 2019년 모임 이후에는 개최되지 않고 있다고 하나 이제 슬슬 모임이 열리지 않을까 기대해 본다. 또한 OWASP는 웹취약점 10개항목에 대한 취약점 대응내용을 설명하고 있기도 한다. OWASP를 읽을 때는 오와삽 이라고 읽으면 된다. [OWASP TOP 10 2021 목록 A1 : Broken Access Control(취약한 접근 제어: 권한/인가)] 접근 제어(Access Control)는 사용자가 권한을 벗어난 행동을 할 수 없도록 정책을 만들..

무차별대입공격에 대한 방어, 로그인에 대한 Multi-factor 인증이나 2차 인증 구현, 안전한 비밀번호 생성 정책 등의 내용이 들어 있는 "보안 프로젝트"가 있어 소개하고자 한다. 웹 어플리케이션을 개발하면서 고려해야 하는 보안상의 취약점을 정리하는 내용이기도 한데, 바로 OWASP 이다. [OWASP 소개] OWASP란 'The Open Web Application Security Project'의 약어로 '오픈소스 웹 어플리케이션 보안 프로젝트'이며 주로 웹에 대한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하는 프로젝트 이름 겸 비영리 보안 프로젝트 재단을 통칭하는 약자이다. 해당 OWASP Top 10 목록은 2001년 12월 1일에 OWASP 재단으로 발족한 이후, 2004..