Rebugger

Confluence Atlassian Bitbucket server & Datacenter 에서 Command injection 취약점이 발견되었고 이 취약점을 확인해야하는 사람들을 위해 빠르게 검증할 수 있는 방법을 제시하고자 작성하였습니다. Summary 다수의 API 엔드포인트의 입력 값에 대한 검증이 미흡하게 설계되어 (아래 2가지 권한을 가진 경우) HTTP 통신 간 요청 값을 조작하여 시스템 내부에 명령어 실행 및 자원 획득이 가능합니다. Public repository with read permissions to a private Bitbuckt repository (비인증 접근은 불가능:세션 검증 프로세스가 있음) Affected Versions Bitbucket Server & Data ..

SBOM(Software Bill of Materials) 과거부터 현재까지 오픈소스 관련 보안 이슈들을 대응하면서 제로데이 취약점 오픈 시 기업자산의 오픈소스 사용여부, 사용중인 소프트웨어 명과 버전 등 리스크 점검에 필요한 작업을 수작업으로 진행해오면서 '조금 더 효율적인 방법은 없을까?' 라는 고민을 하였다. Log4Shell, HeartBleed 등 오픈소스 보안 취약점이 발견되면서 세계적으로 보안 위협 문제가 대두되었고 이에 오픈소스의 출처와 버전, 설치경로 등 대응 및 운영에 필수인 SBOM 이 각광받고 있다. 📑 소프트웨어 자재 명세서 SBOM, 소프트웨어 패키지의 구성 요소같은 기계가 읽을 수 있는 정보(메타데이터, 저작권 및 라이선스 등) 그리고 기타정보들을 포함하는 명세서이다. * BO..

Macbook, Windows 두 종류의 노트북을 사용하면서 [ 주변 환경의 밝기, 배터리 사용 유무]에 따라 카카오톡, 브라우저 상의 텍스트가 너무 밝거나 흐릿하게 보일 때가 있다. 나와 같이 노트북을 사용하면서 위와 같이 불편한 경험이 있을 경우 옵션을 해제 해보는 것도 괜찮을 것 같아 기록으로 남겨둔다. ① PC 카톡 대화창의 숫자 1이 너무 밝아 잘 안보이는 경우 ② 인터넷 브라우저 화면에서 흰색 영역이 너무 밝은 경우 ③ 노트북이 자동밝기 설정이 ON인 경우(Battery 사용 중이면 배터리 절약을 위해 활성화되어 있음) 아래 옵션을 설정해주면 된다. [디스플레이 전원절감 설정 해제] intel 그래픽 제어 센터 → 시스템 → 전원 → 디스플레이 전원절감 끄기

🎯 오픈소스 소프트웨어 나는 개발 패키지를 만들때 라이센스는 'Enter' 로 가볍게 패스하였고, 오픈소스라면 누가 사용해도 문제가 없다고 생각했었다. 최근 오픈소스 제로데이 취약점, 오픈소스 소프트웨어 양극화 문제 등 다양한 이슈들로 인해 관심을 갖게 되었고, Github 하단에 작게나마 적혀있는 라이센스가 어떠한 영향을 끼치는지 궁금해졌다. 오픈소스 소프트웨어 취약점관리를 어떻게 하면 좋을까? 라는 생각에서 출발했는데, 오픈소스 소프트웨어 라이센스 관련 이슈도 보안담당자라면 점검하고 사전에 대응해야하지 않을까? 라는 생각에 정리 겸 지식창고 내용들을 발췌하여 정리하였다. ⚙ 오픈소스는 뭐지? 어떤 소프트웨어 프로그램을 개발하는 과정에 필요한 소스 코드나 설계도를 누구나 접근해서 열람할 수 있도록 공개..

PuttyGen > PuTTY Key Generator 실행 https://thekoguryo.github.io/oci/chapter03/5/3/

분류: 보안기능 / 암호화 되지 않은 중요정보, 사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출 가. 항목명 중요정보 저장 나. 취약점 설명 중요정보 평문저장: 메모리나 디스크 처리에 중요데이터(개인정보, 인증정보, 금융정보)가 평문으로 저장될 경우 공격자가 정보 노출하는 취약점 사용자 하드디스크에 저장된 쿠키를 통한 정보노출: 개인정보, 인증정보 등 영속적인 쿠키에 저장되면 공격자가 쿠키에 접근할 수 있는 기회가 많아져 시스템 취약하게 만든다. 다. 보안대책 ① 중요정보 또는 개인정보 암호화해서 저장 ② 사용하지 않는 중요정보는 메모리에 남기지 않는다. 라. 설계시 고려사항 ① 중요정보/개인정보 암호화 저장 중요정보는 반드시 암호화해서 저장 안전한 암호화 알고리즘과 암호키 사용 쿠키, HTML5 ..

분류: 보안기능 / 취약한 암호화 알고리즘 사용, 충분하지 않은 키 길이 사용, 적절하지 않은 난수 값 사용, 부적절한 인증서 유효성 검증, 솔트 없이 일방향 해쉬함수 사용 가. 항목명 암호연산 나. 취약점 설명 취약한 암호화 알고리즘 사용: 지나치게 간단한 인코딩 함수를 사용하면 비밀번호 안전하게 보호 못함 충분하지 않은 키 길이 사용: 검증된 암호화 알고리즘 사용하더라도 키 길이가 충분히 길지 않으면 짧은 시간 안에 키를 찾아낼 수 있음 적절하지 않은 난수 값 사용: 예측 가능한 난수를 사용하는 것은 시스템 취약점을 유발한다. 솔트 없이 사용하는 일방향 해시함수: 솔트 없이 해시하여 저장하면 공격자는 레인보우 테이블에서 해시값을 미리 계산하고 이를 이용한 전수조사로 비밀번호를 찾을 수 있다. 다. 보..

분류: 보안기능 / 하드코드된 중요정보, 주석문 안에 포함된 시스템 주요정보 가. 항목명 암호키 관리 나. 취약점 설명 하드코드된 암호키: 코드 내부에 암호화 키를 하드코딩하여 사용하여 노출되는 취약점 주석문 안에 포함된 암호키: 주석문 안에 암호키에 대한 설명이 포함된 경우 공격자 접근 시 노출되는 취약점 다. 보안대책 ① DB데이터 암호화에 사용되는 암호키는 KISA 가이드 방법을 적용해야 한다. ② 설장파일(XML, Properties) 내의 중요정보 암호화에 사용되는 키는 암호화해서 별도 디렉토리에 보관한다. 라. 설계시 고려사항 ① DB데이터 암호화에 사용하는 암호키는 암호 키 관리 안내서에서 정의하는 관리방법을 적용한다. 암호키 관리 규칙 생성 시 고려사항 1. 암호키는 데이터가 저장되는 DB..

분류: 보안기능/ 부적절한 인가, 중요한 자원에 대한 잘못된 권한 설정 가. 항목명 중요자원 접근통제 나. 취약점 설명 관리자 페이지 노출: 관리자페이지가 인터넷에서 접근 가능할 경우 SQL 삽입, 무차별 대입 공격 등 다양한 형태의 공격 빌미르 제공하는 취약점 SSI 삽입: SSI(Server-side Includes)는 HTML 문서 내 변수 값으로 입력된 후 서버에서 처리 시 삽입 명령문을 수행해 서버 데이터 정보가 누출되는 취약점 부적절한 인가 : 프로그램 모든 접근 가능한 실행경로에 대해 접근제어 검사가 불완전해 접근 가능한 실행경로로 정보를 유출하는 취약점 중요자원에 대한 잘못된 권한 설정: 권한을 갖지 않은 사용자가 자원을 사용하게 될 수 있는 취약점 다. 보안대책 ① 중요자원에 대한 접근통..

분류: 보안기능 / 하드코드된 중요정보, 취약한 비밀번호 이용 가. 항목명 비밀번호 관리 나. 취약점 설명 취약한 비밀번호 사용: 회원가입 시 안전한 비밀번호 생성규칙이 적용되지 않아 무차별 대입 공격으로 비밀번호가 누출되는 취약점 취약한 비밀번호 복구: 비밀번호 복구 메커니즘(아이디/비밀번호 찾기 등)이 취약하여 불법적으로 비밀번호 획득, 변경, 복구하는 취약점 하드코딩된 중요정보: 프로그램 코드 내부에 비밀번호를 하드 코딩하여 내부 인증에 사용하거나 외부 컴포넌트와 통신하는 경우 관리자 계정정보가 노출될 수 있는 취약점 다. 보안대책 ① KISA "비밀번호 선택 및 이용 안내서"의 비밀번호 보안 지침 적용 ② 네트워크로 비밀번호 전송하는 경우 반드시 비밀번호 암호화하거나 암호화된 통신 채널 이용 ③ ..