Notice
Recent Posts
Recent Comments
Link
«   2025/07   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31
Tags more
Archives
Today
Total
관리 메뉴

목록분류 전체보기 (314)

의미없는 블로그

HTTPS, POST 쓰는데 왜 카드번호 마스킹해서 보내야 하냐

HTTPS 는 클라이언트 웹 서버 간 통신만 보호서버에 도착한 후에는 평문 카드번호가 시스템 메모리나 로그에 남을 수 있음 PCI-DSS 기준에서도 카드번호를 전송, 저장할 때 암호화 또는 마스킹 하라고 하고 있음- 3.4.1 저장된 카드번호는 강력한 암호화 기법 적용해야 한다- 4.1.1 카드정보가 공개 네트워크를 통해 전송될 때는 반드시 강력한 암호화 기법을 사용해야 한다- 10.2.1.2 로그에는 절대로 카드번호 등 민감정보가 저장 되어서는 안된다 그래서 민감정보(카드번호 등)는 전송 전에 클라이언트에서 암호화 하고 전송하는게 베스트
# 나/pentest (WEB) 2025. 6. 19. 16:51
[Nessus] SSL Certificate Expiry

IPHostname현상10.128.111.111aaa.testkorea.comhttps://10.128.111.111 인증서 만료(취약)https://aaa.testkorea.com 인증서 유효(양호) 접속 주소브라우저가 보내는 SNIIIS가 선택하는 인증서https://aaa.testkorea.comaaa.testkorea.comaaa.testkorea.com 인증서https://10.128.111.111없음기본 인증서 기본 인증서가 만료 되어가지고 SSL Certificate Expiry 취약점으로 잡혔다Nessus 는 IP 로 스캔하니깐 10.128.111.111 (443) 에서 도메인 인증서로 수동 설정 가능이렇게 할 경우 IP 로 접속해도 도메인 인증서가 제공되긴 하지만 '인증서 이름 불일치' ..
# 나/!nfra 2025. 6. 18. 16:53
Nessus 통신 안되는거

[IDC 대상] 1. 서버가 Sunset 인지, IP 스위칭 됐는지 확인해본다> alive 상태 2. 포트스캔 해서 telnet, curl 등 붙어본다 (붙으면 방화벽 문제는 아님)> 포트스캔 실패 3. IDC 방화벽 담당자에게 양방향으로 뚫려있는지 확인해본다> 양방향 뚫려있음 4. tracert 해본다> 10.128.63.154 까지 감 (IDC 스위치 대역)> 스위치에서 서버로 가는게 안되는 것 해당 서버 IP가 mgmt, backup 용으로 사용되는 IP일 경우 gateway 설정을 안해놔서 안될 수 있다해당 서버의 서비스용 IP를 받아서 그걸로 스캔해야 됨아니면 라우팅 설정을 추가해줘야 됨 서버의 NIC 에 gateway 를 설정하지 않은 경우다른 네트워크로 나가지 않도록 제한하기 위해 폐쇄망으..
카테고리 없음 2025. 6. 11. 08:59
[Nessus] SSL Certificate Signed Using Weak Hashing Algorithm

하나의 서버에서여러 포트에 SSL 사용중일 수 있다 8443 포트 > SHA-256 알고리즘 사용중27005 포트 > SHA-1 알고리즘 사용중 (취약) openssl s_client -connect 192.168.0.10:27005 -showcerts | openssl x509 -noout -text 위 명령어 해보면 알고리즘 종류 확인할 수 있다 8443 포트는 걍 웹 서비스 용이고27005 포트는 agent 관리서버 간 통신하는 포트 였음 걍 27005 포트에서 사용하는 인증서를SHA-256 으로 재발급 하면 된다
# 나/!nfra 2025. 5. 28. 17:42
[Nessus] Apache Tomcat Default Files

디폴트 에러 페이지 자체를 바꿀 필요는 없고버전 정보만 지우면 안잡힌다 Tomcat/conf/server.xml 에서 아래와 같이 설정 unpackWARs="true" autoDeploy="true"> showReport="false" showServerInfo="false"/> Tomcat 재시작$CATALINA_HOME/bin/shutdown.sh $CATALINA_HOME/bin/startup.sh
# 나/!nfra 2025. 5. 15. 16:22
[Nessus] PostgreSQL Default Unpassworded Account

PostgreSQL 디폴트 계정 postgres 인데 비밀번호 설정 안되어 있어서Nessus 가 로그인 시도 해보고 로그인 성공해서 취약점으로 잡은것 같다 postgres 계정에 대해 비밀번호 설정 하면 안잡힐 것이다# 리눅스에서 postgres 사용자로 전환sudo -u postgres psql# psql 안에서 비밀번호 설정\password postgres# 확인 방법:select usename, passwd from pg_shadow where username = 'postgres';# 예시 화면:username passwdpostgres md5cfc624e0d299bf25e3a6d7f0b1234567 근데 비밀번호 설정 하더라도trust 나 peer ..
# 나/!nfra 2025. 5. 14. 13:35
Nessus 취약점 등급 기준

보호되어 있는 글입니다.
# 나/3 2025. 5. 8. 14:50
연구 개발 목적의 망분리 예외 적용에 따른 보안 해설서

내부망 (3호망)일반 업무망전산실 (5호망)운영, 테스트, 보안 등 일반적인 중요단말망?인터넷망인터넷 VDI연구 개발망개발, AI, SaaS 활용한 연구 개발 활동 수행?? 연구 개발망 내부망 간에 논리적 망분리를 허용하고> 한 PC에서 가상화나 접근제어 같은걸로 분리 연구 개발망 전산실 간에 망간 전송을 허용한다는 내용> 소스코드나 개발산출물 왔다갔다 할 수 있게> 전산실은 이미 물리적 망분리 되어 있으니까 연구 개발망에서 가명정보 처리를 허용한다는 내용> 유해 사이트 차단하고 외부 인터넷 접근통제 되어있을때> 내부 업무망과 망분리 되어있을때> 처리하는 데이터에 대해 모니터링 해야> 연구 개발망 침해사고 예방 대책 적용해야> 소스코드 같은거 외부 반출 방지, 망간 전송 허용 같은 보안관리 대책 있어..
# 나/3 2025. 5. 7. 10:28
Prev 1 2 3 4 ··· 40 Next