패스워드 매니저 패스워드 매니저란 사용자의 비밀 정보를 암호화하여 데이터베이스에 저장하고, 사용자는 하나의 마스터 패스워드만을 사용하여 암호화된 데이터베이스에 접근하므로 사용자는 마스터 패스워드만 기억하면 된다. 패스워드 매니저의 문제점 사용자의 비밀 정보가 담긴 데이터베이스를 로컬 컴퓨터에 저장하는 경우) 패스워드 저장소의 보안 취약점 발생 → 데이터 베이스를 인터넷 서버에 암호화하여 저장하고 필요할 때마다 서버에 접속하여 사용 BUT, 공격자가 패스워드 매니저와 서버 간의 통신 메시지를 스니핑하여 해독하는 경우 사용자의 비밀 정보가 공격자에게 노출 LastPass 클라이언트-서버 통신 취약점 LastPass 개요 LastPass는 대표적인 상용 패스워드 매니저 프로그램들 중에서 가장 많이 사용되는 프..
분류 전체보기
패스워드 매니저 패스워드 매니저의 사용배경 최근 기하급수적으로 늘어나는 서비스만큼 사용자가 외워야 하는 계정 정보도 늘어난다. 하지만 보안상의 문제로 인해 여러 계정에서 비밀번호를 재사용하지 않고, 비밀번호를 어딘가에 적지 말 것을 권장한다. 따라서 사용자는 새로운 비밀번호를 외워야 하는 부담에 처한다. 이와 관련해 사용자의 편리성과 보안성을 개선하고자 패스워드 매니저를 대안으로 사용하고 있다. 패스워드 매니저란 사용자의 중요 정보들을 관리 및 보호하며 사용자가 웹 서비스를 편리하게 이용할 수 있도록 도와주는 소프트웨어 사용자의 정보 저장 방식에 따른 분류) 브라우저 기반 패스워드 매니저 웹 기반 패스워드 매니저 브라우저 기반 패스워드 매니저 브라우저 기반 패스워드 매니저란? - 개념 사용자의 계정 정보..
[ 환경 구성 ] 먼저 해킹에 사용할 모의 앱을 만들기 위해 'PentesterLab' 사이트에 접속하여 상단 카테고리 중 EXERCISES를 클릭한다. 그러면 여러가지 파일의 목록들이 나오는데 그 중에서 'From SQL Injection to Shell' 을 찾아 클릭한다. 이후에 나오는 페이지에서 Files 부분을 누르고 ISO 파일을 다운로드 받기 위해 ISO 부분에 있는 here 버튼을 눌러 설치해준다. 이제 VMware에 아까 설치한 파일로 모의 웹을 새로 만들어야 하는데 강사님은 VirtualBox로 실습을 진행하셔서 최대한 비슷한 설정으로 설치하고자 노력하였다. 시스템은 Linux, 버전은 데비안 32bit 버전으로 설치하고 가상머신 이름은 '최종실습'으로 변경하였다. 메모리 크기의 경우 ..
[ 크로스사이트스크립팅(XSS) 공격이란? ] - 자바스크립트 : 웹 애플리케이션에서 사용되는 언어로 동적인 기능을 구현함. ▶ 의 형태로 구현 : 쿠키를 빼낼 때 사용 가능 로 입력하고 제출 버튼을 눌렀을때 XSS 취약점이 있으면 오른쪽 화면과 같이 스크립트가 실행되는 것을 볼 수 있다. alert 함수에 의해 1이라는 값이 출력되었다. 이 말은 즉, 스크립트가 웹 브라우저에서 실행되었다는 뜻이고, XSS 공격이 가능하다는 뜻이다. 이번에는 입력칸에 를 입력해보자. 그 결과, 오른쪽 이미지와 같이 쿠키의 값이 출력된 것을 볼 수 있었다. 이러한 쿠키값을 해커가 관리하는 시스템으로 전달하는 실습을 진행해보자. 왼쪽 화면이 해커가 관리하는 호스트라고 가정. 터미널에 웹서버의 로그를 출력하기 위해서 다음 명..
[ SQL 인젝션 공격이란? ] 데이터베이스로 전송되는 SQL 쿼리문을 사용자 입력으로 조작할 수 있는 경우, 데이터베이스 내 데이터를 변조하거나 허가되지 않은 정보에 접근할 수 있는 공격 예전부터 최근까지 꾸준하게 사용된 공격으로 2011년 소니 해킹, 2015년 뽐뿌 해킹, 2015년 어나니머스 WTO 해킹 등 많은 사례들이 있다. - WHERE 구문 공격 ID가 1인 사용자 정보를 요청한다고 생각해보자. 요청을 받으면 웹 애플리케이션은 외부에 있는 DB로 SELECT name, email FROM users WHERE ID='1' 이라는 쿼리문을 전송한다. 쿼리문 안에 사용자가 입력한 ID 값 1이 조건으로 명시되어 있는 WHERE 조건문이 있다. 이 쿼리문을 풀이하자면, ID가 1인 경우에 use..
[ CAPTCHA 공격이란? ] 컴퓨터가 알 수 없는 흘려 쓴 글씨 등을 이용하여 이를 제대로 인식하면 사람이라고 확인하는 것이다. 회원가입이나 비밀번호와 같이 사람이 직접 하지 않을때, 문제가 발생할 경우에 주로 사용된다. 브루트포스 공격과 같이 프로그램을 이용한 공격에 대응할 때 매우 효과적이다. 하지만 제대로 구현하지 않는다면, 해커는 이를 우회하여 공격할 수 있다. 그림을 통해 자세히 알아보자. 비밀번호 단계는 총 두 단계로 진행된다. 우선 CAPTCHA를 통해 사람인지 확인한다. 확인이 된 이후에는 두번째 단계에서 비밀번호를 변경한다. 하지만 이 과정이 제대로 구현되어 있지 않다면 해커가 CAPTCHA를 확인한 것처럼 꾸미고 두번째 단계만 진행하여 비밀번호를 변경하는 것이 가능하다. [ CAPT..