보안개발팀

[여기보기] 링크 설정과 파일 다운로드/업로드 관리에서 중요한 것은 꺾이지 않는 마음

WAS에는 불필요한 시스템 권한을 획득하거나 시스템의 과부하를 발생시킬 수 있는 요소가 있습니다. 중요 시스템 파일에 접근해 보안 문제가 발생하는 심볼릭 링크 사용과 다운로드나 업로드를 반복해 서버에 과부하가 발생하거나 시스템 권한을 획득하게 만드는 문제입니다.

[여기보기] WAS의 정보는 개인정보 다루듯이 보호하라

WAS의 정보는 보안 입장에서 개인정보와 같은 개념입니다. WAS 종류, 버전, 서버 운영체제 정보 등은 기본 설정 그대로를 사용하면 은연 중에 노출됩니다. 그리고 알려진 취약점을 이용해 공격자가 WAS에 문제를 일으키기 쉽습니다. 이 글에서는 WAS의 정보가 담긴 구성 요소들을 제어하는 방법을 소개합니다.

[여기보기] 적에게 내 WAS의 디렉터리와 파일을 알리지 말라, WAS 디렉터리 인덱싱 및 상위 디렉터리 접근 제한

공개 배포해야 하는 파일이 많은 서비스가 아니라면 WAS의 디렉터리 구조는 노출하지 않아야 합니다. 이번에는 WAS에서 디렉터리 인덱싱 취약점을 노출하지 않는 방법과 노출해야 하더라도 상위 디렉터리에 이동 제한을 설정해 접근할 수 없게 만드는 방법을 살펴보겠습니다.

[여기보기] 쓸 것인가 말 것인가 그것이 문제로다, FTP 보안 설정 돌아보기

작업 중 대량 파일이나 대용량 파일을 서버 안팎으로 복사해야 하는 상황이 생겼을 때, 가장 쉽게 떠올리는 방법 중 하나가  ftp입니다. 다만, 파일을 복사하는 상황 자체가 제한적이고, 설치하는 FTP에 따라서 배포 라이선스가 다를 수 있고, 각자 선호하는 FTP가 다름으로 인해…

[여기보기] 장치를 연결하고 인식하는 과정에도 빈틈은 있다

리눅스에서 ‘/dev’에는 장치 드라이버나 설정을 위한 다양한 정보가 들어있습니다. 파일 형태도 일반 파일부터 심볼릭 링크, 디렉터리, 블록 장치 파일 문자 장치 파일까지 다양합니다. 시스템 기본으로 생성됐거나, 과거에 연결했던 당시에 자동으로 생성됐거나, 필요로 인해 수동으로…

[여기보기] Cron과 At이 주는 자유를 위해, 실행 권한을 점검하라

랜섬웨어나 멀웨어는 보통 침투 시점과 실제 동작하는 시점이 분리돼 있습니다. 동작 트리거로 시간 조건을 사용할 때 이 두 명령어를 활용합니다. 서버에 기본으로 설치돼 있는 명령어이므로 간편하게 실행할 수 있기 때문이죠. 만약 서버 안에서 동작할 예약 작업이 없다면, 이 두 기능…