WAS 프로세스를 보호하려면 관리자 계정으로 구동하지 말아야 합니다. 이는 프로세스의 실행 계정이나 그룹이 root나 Administrator여서는 안 된다는 뜻입니다. 여기에서는 윈도우의 IIS, 아파치 HTTP 서버, 톰캣, NGINX, 스프링부트, Node.js의 여섯…
보안실
[여기보기] WAS 프로세스가 다진 마음은 루트와 헤어질 결심
[여기보기] 누구나 아는 기본 계정명은 비밀이 아니다
WAS에는 핵심 기능을 제어하는 관리자 콘솔을 제공합니다. 그런데 처음 실무 환경에서 일할 때는 관리자 콘솔의 보안성을 소홀히 생각하기 쉽습니다. 기본으로 제공하는 계정명과 패스워드가 있기 때문입니다. 특히 외부에 공개되지 않는 서비스라면 변경하기 귀찮다는 이유로 기본 계정명과…
[여기보기] 내 서버도 머글이 지나갈 수 없는 9와 4분의 3 승강장처럼
리눅스 서버도 호그와트처럼 특정 조건이 부합할 때만 접근할 수 있는 9와 4분의 4 승강장이 있다면 어떨까요? 혹시라도 뚫고 들어온 머글이 있다면, 어떻게 들어왔는지 흔적을 빨리빨리 찾으려면 어떻게 해야 할까요? 특별한 마법을 쓰지 않아도 서버로 접근하는 경로와 머무르는 시간 등…
[여기보기] etc 디렉터리에 있는 소중한 아이들
‘etc’디렉터리에는 시스템 설정 관련 파일이 있습니다. 시스템 부팅과 전반에 걸쳐 영향을 주는 파일이 대부분이죠. ‘etc’ 디렉터리와 파일을 보호하는 기초적인 방법은 역시 소유권과 권한 설정입니다. 그래서 ‘chown’과 ‘chmod’ 명령어만으로 대부분 해소할 수 있습니다.
[여기보기] 파일과 디렉터리에는 정확한 소유권과 적당한 권한을 부여하라
종종 퇴사자 계정을 정리하는 과정에서 관리 소홀로 인해 소유자가 존재하지 않는 파일이나 디렉터리가 생깁니다. 이런 파일이나 디렉터리가 영향을 끼칠 범위는 말 그대로 예측 불가가 됩니다. 그래서 존재 목적에 따라 악영향을 줄 가능성이 매우 높으므로 소유자가 존재하지 않는 파일이나…
[여기보기] 알리바바가 외친 “열려라 참깨”에는 열리지 않는 문
아라비안나이트에 나오는 ‘알리바바와 40인의 도둑’ 이야기를 잠시 떠올려보겠습니다. 도둑이 멀리서 외치는 암호가 알리바바에게 유출됐고, 유출된 암호였던 “열려라 참깨”는 계속 재사용됐습니다. 길이조차도 그리 길지 않아서 기억하기 좋았습니다. 여기서 몇 가지 가설을 추가해보겠습니다.
[여기보기] 뿌리 깊은 리눅스의 근본, 루트 계정을 지켜라
여러 작업을 하다 보면, root 계정으로 접속해서 모든 권한을 마음껏 쓸 수 있을 때 정말 편하긴 합니다. 한번 겪어보면 그 유혹을 쉽사리 빠져나오기가 쉽지 않습니다. 하지만 초대받지 않은 사람이 root 계정으로 들어온다면, 딱 우리가 편했던 그만큼 정말 편하게 시스템에 훼방을…
RESTful API 서버를 위협하는 한 글자, 슬래시 – CVE-2016-5007
CVE-2016-5007 취약점은 2016년 7월 7일에 최초 공개됐습니다. 어느덧 최초 공개일로부터 5년을 훌쩍 넘었습니다. 하지만 최근까지도 스프링 프레임워크 기반 RESTful API 서버를 사용하는 여러 서비스에서 심각한 보안 위협이 발견되고 있어서, 연구 과제로 선정했습니다..
OWASP Top 10 – 2021 톺아보기(2/2)
보안 설정 오류(Security Misconfiguration)는 애플리케이션을 최초 설치하거나 업데이트할 때 보안성을 고려하지 않은 설정으로 인해 취약점이 발생하는 경우로, 설정과 관련된 모든 부분을 포함하고 있습니다. XXE(XML External Entity) 항목은…
OWASP Top 10 – 2021 톺아보기(1/2)
OWASP는 ‘Open Web Application Security Project’라는 비영리 보안 프로젝트 재단을 통칭하는 약자입니다. 이 재단에서는 애플리케이션에서 발생할 수 있는 취약점을 분석하고 연구하고 있습니다. 2001년 12월 1일에 OWASP 재단으로 발족한 이후…