Notice
Recent Posts
Recent Comments
Link
«   2025/07   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31
Tags more
Archives
Today
Total
관리 메뉴

목록# 나 (294)

의미없는 블로그

HTTPS, POST 쓰는데 왜 카드번호 마스킹해서 보내야 하냐

HTTPS 는 클라이언트 웹 서버 간 통신만 보호서버에 도착한 후에는 평문 카드번호가 시스템 메모리나 로그에 남을 수 있음 PCI-DSS 기준에서도 카드번호를 전송, 저장할 때 암호화 또는 마스킹 하라고 하고 있음- 3.4.1 저장된 카드번호는 강력한 암호화 기법 적용해야 한다- 4.1.1 카드정보가 공개 네트워크를 통해 전송될 때는 반드시 강력한 암호화 기법을 사용해야 한다- 10.2.1.2 로그에는 절대로 카드번호 등 민감정보가 저장 되어서는 안된다 그래서 민감정보(카드번호 등)는 전송 전에 클라이언트에서 암호화 하고 전송하는게 베스트
# 나/pentest (WEB) 2025. 6. 19. 16:51
[Nessus] SSL Certificate Expiry

IPHostname현상10.128.111.111aaa.testkorea.comhttps://10.128.111.111 인증서 만료(취약)https://aaa.testkorea.com 인증서 유효(양호) 접속 주소브라우저가 보내는 SNIIIS가 선택하는 인증서https://aaa.testkorea.comaaa.testkorea.comaaa.testkorea.com 인증서https://10.128.111.111없음기본 인증서 기본 인증서가 만료 되어가지고 SSL Certificate Expiry 취약점으로 잡혔다Nessus 는 IP 로 스캔하니깐 10.128.111.111 (443) 에서 도메인 인증서로 수동 설정 가능이렇게 할 경우 IP 로 접속해도 도메인 인증서가 제공되긴 하지만 '인증서 이름 불일치' ..
# 나/!nfra 2025. 6. 18. 16:53
[Nessus] SSL Certificate Signed Using Weak Hashing Algorithm

하나의 서버에서여러 포트에 SSL 사용중일 수 있다 8443 포트 > SHA-256 알고리즘 사용중27005 포트 > SHA-1 알고리즘 사용중 (취약) openssl s_client -connect 192.168.0.10:27005 -showcerts | openssl x509 -noout -text 위 명령어 해보면 알고리즘 종류 확인할 수 있다 8443 포트는 걍 웹 서비스 용이고27005 포트는 agent 관리서버 간 통신하는 포트 였음 걍 27005 포트에서 사용하는 인증서를SHA-256 으로 재발급 하면 된다
# 나/!nfra 2025. 5. 28. 17:42
[Nessus] Apache Tomcat Default Files

디폴트 에러 페이지 자체를 바꿀 필요는 없고버전 정보만 지우면 안잡힌다 Tomcat/conf/server.xml 에서 아래와 같이 설정 unpackWARs="true" autoDeploy="true"> showReport="false" showServerInfo="false"/> Tomcat 재시작$CATALINA_HOME/bin/shutdown.sh $CATALINA_HOME/bin/startup.sh
# 나/!nfra 2025. 5. 15. 16:22
[Nessus] PostgreSQL Default Unpassworded Account

PostgreSQL 디폴트 계정 postgres 인데 비밀번호 설정 안되어 있어서Nessus 가 로그인 시도 해보고 로그인 성공해서 취약점으로 잡은것 같다 postgres 계정에 대해 비밀번호 설정 하면 안잡힐 것이다# 리눅스에서 postgres 사용자로 전환sudo -u postgres psql# psql 안에서 비밀번호 설정\password postgres# 확인 방법:select usename, passwd from pg_shadow where username = 'postgres';# 예시 화면:username passwdpostgres md5cfc624e0d299bf25e3a6d7f0b1234567 근데 비밀번호 설정 하더라도trust 나 peer ..
# 나/!nfra 2025. 5. 14. 13:35
Nessus 취약점 등급 기준

보호되어 있는 글입니다.
# 나/3 2025. 5. 8. 14:50
연구 개발 목적의 망분리 예외 적용에 따른 보안 해설서

내부망 (3호망)일반 업무망전산실 (5호망)운영, 테스트, 보안 등 일반적인 중요단말망?인터넷망인터넷 VDI연구 개발망개발, AI, SaaS 활용한 연구 개발 활동 수행?? 연구 개발망 내부망 간에 논리적 망분리를 허용하고> 한 PC에서 가상화나 접근제어 같은걸로 분리 연구 개발망 전산실 간에 망간 전송을 허용한다는 내용> 소스코드나 개발산출물 왔다갔다 할 수 있게> 전산실은 이미 물리적 망분리 되어 있으니까 연구 개발망에서 가명정보 처리를 허용한다는 내용> 유해 사이트 차단하고 외부 인터넷 접근통제 되어있을때> 내부 업무망과 망분리 되어있을때> 처리하는 데이터에 대해 모니터링 해야> 연구 개발망 침해사고 예방 대책 적용해야> 소스코드 같은거 외부 반출 방지, 망간 전송 허용 같은 보안관리 대책 있어..
# 나/3 2025. 5. 7. 10:28
FEP, APIM

FEP(Front End Processor)> 외부랑 중계하는 서버라고 보면 됨> 대외계 GW 라고 보면 됨> 외부 기관들과 통신하는 목적으로 사용 APIM(API Management)> API GW 라고 보면 됨> API 통신하는 기관들과 통신하는 목적으로 사용 그래서 FEP 서버에서 통신하는 포트 종류 보면 대외 은행들이 많음APIM 서버에서 통신하는 포트는 통신사 모바일 서비스, AI OCR 이런것들 있음 (API로 통신하는 것들) 디리아에서 개발한 CruzAPIM 이라는 솔루션 있다APIM 통해서 들어온 애들 CruzAPIM 에서 관리하나 봄 그래서 온프렘은 디리아 써서 API Security 한다고 했구나 외부 은행들 ↓↑ [DX Line] - 전용선 ..
# 나/3 2025. 4. 30. 09:58
Prev 1 2 3 4 ··· 37 Next