분류 전체보기207 unix 서버 취약점 계정잠금 임계값 설정 점검내용 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검 점검목적 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검하여 비 인가자의 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)으로 인한 비밀번호 노출 공격을 무력화하기 위함 보안위협 로그인 실패 임계값이 설정되어 있지 않을 경우 반복되는 로그인 시도에 대한 차단이 이루어지지 않아 각종 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)에 취약하여 비인가자에게 사용자계정 패스워드를 유출당할 수 있음 참고 ※ 사용자 로그인 실패 임계 값: 시스템에 로그인 시 몇 번의 로그인 실패에 로그인을 차단할 것인지 결정하는 값 대상 SOLARIS, LINUX, AIX, HP-UX 등 판단 기준 양호 : 계정 잠금 임계.. 2023. 1. 2. 정보보안기사 자격증 준비 및 요점 정리 (1) ●Blind SQL Injection :쿼리 결과의 참과 거짓을 통해 의도하지 않은 SQL무 시행해 DB 공격하는 기법 ●크로스사이트 스크립트(XSS) 입력 값에 대한 필터링이 제대로 이뤄지지 않을 경우, 공격자가 입력 가능한 URL, 게시판에 악의적 스크립트 삽입해 해당스크립트가 희생자 측에서 동작하도록 하는 취약점 ●디렉터리 트레버셜 공격 : 여기저기 이동한단 의미로 허가되지 않은 디렉터리나 파일경로로 이동해 접근하는 공격 URL 주소에 ../ , “..\ 등 추가해 상위 디렉터리로 이동 후 특정파일 호출 ●파일삽입 취약점 : 악성서버 스크립트를 서버에 전달, 해당 페이지를 통해 악성코드 실행되도록, php.ini 파일에서 allow_url_fopen을 off 설정 → 외부사이트 악성스크립트 파일이 .. 2022. 12. 30. unix 서버취약점 > 계정관리 > 패스워드 복잡성 설정 U2 점검내용 시스템 정책에 사용자 계정(root 및 일반 계정 모두 해당) 패스워드 복잡성 관련 설정이 되어 있는지 점검 점검목적 패스워드 복잡성 관련 정책이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 사전 대입 공격 등)에 대비가 되어 있는지 확인하기 위함 보안위협 패스워드 복잡성 설정이 되어 있지 않은 사용자 계정 패스워드 존재 시 비 인가자가 각종 공격(무작위 대입 공격, 사전 대입 공격 등)을 통해 취약한 패스워드가 설정된 사용자 계정의 패스워드를 획득하여 획득한 사용자 계정 정보를 통해 해당 사용자 계정의 시스템에 접근할 수 있는 위험이 존재함 참고 ※ 패스워드 복잡성: 사용자 패스워드 설정 시 영문(대문자, 소문자), 숫자, 특수문자가 혼 합된 패스워드로 설정하는 방법 ※ .. 2022. 12. 29. 윈도우 서버 취약점진단 administrator 계정이름 변경 등 보안성 강화 점검내용 윈도우즈 최상위 관리자 계정인 Administrator의 계정명 변경 또는 보안을 고려한 비밀번호 설정 여부 점검 점검목적 윈도우즈 기본 관리자 계정인 Administrator의 이름을 변경 또는 보안을 고려한, 잘 알려진 계정을 통한 악의적인 패스워드 추측 공격을 차단하고자 함 보안위협 일반적으로 관리자 계정으로 잘 알려진 Administrator를 변경하지 않은 경우 악 의적인 사용자의 패스워드 추측 공격을 통해 사용 권한 상승의 위험이 있으며, 관리자를 유인하여 침입자의 액세스를 허용하는 악성코드를 실행할 우려가 있음 윈도우즈 죄상위 관리자 계정인 Administrator는 기본적으로 삭제하거나 잠글 수 없어 악의적인 사용자의 목표가 됨 참고 ※ 윈도우즈 서버는 Administrat.. 2022. 12. 28. 이전 1 ··· 44 45 46 47 48 49 50 ··· 52 다음
