CATGRASSS

서버 백업 파일이 웹 경로에 남아 있을 때 생기는 정보 유출 문제

작성자:

서버 백업 파일이 웹 경로에 남아 있을 때 생기는 정보 유출 문제 웹사이트를 운영하다 보면 백업 파일을 만들 일이 많습니다. 사이트를 수정하기 전 기존 파일을 압축해두거나, 데이터베이스를 내려받아 보관하거나, 이전 버전의 소스코드를 임시로 저장하는 경우가 있습니다. 백업은 장애나 실수에 대비하기 위한 중요한 관리 작업입니다. 하지만 백업 파일을 잘못된 위치에 보관하면 심각한 정보 유출로 이어질 수 … 더 읽기

관리자 페이지 URL을 단순하게 만들면 무차별 대입 공격에 노출되는 이유

작성자:

관리자 페이지 URL을 단순하게 만들면 무차별 대입 공격에 노출되는 이유 웹사이트를 운영할 때 관리자 페이지는 사이트의 핵심 출입구입니다. 일반 방문자가 보는 화면과 달리 관리자 페이지에서는 게시글 작성, 회원 관리, 주문 확인, 댓글 관리, 파일 업로드, 테마 수정, 플러그인 설정, 통계 확인 같은 중요한 작업이 이루어집니다. 블로그, 쇼핑몰, 커뮤니티, 예약 사이트, 회사 홈페이지 모두 관리자 페이지를 … 더 읽기

robots.txt 파일이 숨겨진 페이지를 알려주는 단서가 될 수 있는 경우

작성자:

robots.txt 파일이 숨겨진 페이지를 알려주는 단서가 될 수 있는 경우 웹사이트를 운영하다 보면 검색엔진에 노출하고 싶은 페이지와 노출하고 싶지 않은 페이지가 나뉩니다. 예를 들어 블로그 글, 상품 페이지, 회사 소개 페이지는 검색 결과에 노출되어도 괜찮지만, 관리자 페이지, 테스트 페이지, 임시 파일, 내부 자료 페이지는 외부에 드러나지 않는 것이 좋습니다. 이때 자주 언급되는 파일이 robots.txt입니다. robots.txt는 … 더 읽기

에러 메시지가 자세할수록 공격자에게 힌트가 되는 이유

작성자:

에러 메시지가 자세할수록 공격자에게 힌트가 되는 이유 웹사이트나 앱을 사용하다 보면 에러 메시지를 자주 볼 수 있습니다. 로그인이 실패했을 때, 페이지가 열리지 않을 때, 파일 업로드가 되지 않을 때, 결제가 실패했을 때, 서버 오류가 발생했을 때 화면에 안내 문구가 표시됩니다. 사용자 입장에서는 문제가 왜 생겼는지 알려주는 메시지가 필요합니다. 하지만 보안 관점에서는 에러 메시지가 너무 자세할수록 … 더 읽기

테스트용 계정을 삭제하지 않았을 때 생기는 침해사고 위험

작성자:

테스트용 계정을 삭제하지 않았을 때 생기는 침해사고 위험 웹사이트나 앱을 개발할 때 테스트용 계정을 만드는 일은 흔합니다. 기능이 제대로 작동하는지 확인하기 위해 관리자 계정, 일반 회원 계정, 판매자 계정, 직원 계정, 임시 고객 계정 등을 만들어 테스트합니다. 로그인, 결제, 게시글 작성, 파일 업로드, 권한 변경, 관리자 승인 같은 기능을 확인하려면 실제 계정처럼 사용할 수 있는 … 더 읽기

디렉터리 리스팅이 켜져 있으면 서버 정보가 새어 나가는 방식

작성자:

디렉터리 리스팅이 켜져 있으면 서버 정보가 새어 나가는 방식 웹사이트를 운영할 때 서버 안에는 다양한 파일과 폴더가 존재합니다. HTML, CSS, 자바스크립트, 이미지, 업로드 파일, 백업 파일, 로그 파일, 설정 파일, 테스트 파일 등이 저장될 수 있습니다. 일반 방문자는 웹페이지 화면만 보지만, 실제 서버에는 사이트가 작동하기 위한 많은 자료가 함께 들어 있습니다. 이때 서버 설정이 잘못되어 … 더 읽기

파일 업로드 기능이 웹쉘 공격으로 이어질 수 있는 이유

작성자:

파일 업로드 기능이 웹쉘 공격으로 이어질 수 있는 이유 웹사이트에는 파일 업로드 기능이 자주 사용됩니다. 게시판에 이미지를 올리거나, 쇼핑몰 상품 사진을 등록하거나, 이력서와 증빙서류를 제출하거나, 프로필 사진을 변경하는 기능이 모두 파일 업로드에 해당합니다. 사용자 입장에서는 매우 익숙한 기능이지만, 보안 관점에서는 반드시 신중하게 관리해야 하는 기능입니다. 파일 업로드 기능이 위험한 이유는 서버에 사용자가 보낸 파일이 저장되기 … 더 읽기

로그인 실패 횟수 제한이 없을 때 발생할 수 있는 보안 문제

작성자:

로그인 실패 횟수 제한이 없을 때 발생할 수 있는 보안 문제 웹사이트나 앱에서 로그인을 할 때 아이디와 비밀번호를 잘못 입력하면 “로그인에 실패했습니다”라는 메시지가 나타납니다. 일반 사용자는 비밀번호를 잊었을 때 몇 번 다시 입력해보는 정도로 끝납니다. 하지만 공격자는 이 과정을 자동화해 수많은 아이디와 비밀번호 조합을 반복적으로 시도할 수 있습니다. 이때 중요한 보안 장치가 로그인 실패 횟수 … 더 읽기

웹사이트 관리자 페이지가 노출되었을 때 공격자가 가장 먼저 확인하는 것들

작성자:

웹사이트 관리자 페이지가 노출되었을 때 공격자가 가장 먼저 확인하는 것들 웹사이트를 운영할 때 관리자 페이지는 가장 중요한 출입구 중 하나입니다. 일반 방문자가 보는 화면과 달리 관리자 페이지에서는 게시글 작성, 회원 관리, 주문 확인, 파일 업로드, 설정 변경, 통계 확인 같은 민감한 작업이 이루어집니다. 워드프레스, 쇼핑몰, 커뮤니티, 예약 사이트, 회사 홈페이지 모두 관리자 페이지를 통해 운영됩니다. … 더 읽기

중고 게임기 안에 남은 계정과 저장 데이터 삭제가 필요한 이유

작성자:

중고 게임기 안에 남은 계정과 저장 데이터 삭제가 필요한 이유 중고 게임기는 새 제품보다 저렴하게 구매할 수 있고, 사용하지 않는 기기를 판매해 비용을 회수할 수 있어 거래가 활발합니다. 닌텐도 스위치, 플레이스테이션, 엑스박스, 휴대용 게임기, 태블릿형 게임기처럼 다양한 기기가 중고로 사고팔립니다. 게임을 더 이상 하지 않거나 새 기기로 바꾼 뒤 기존 기기를 판매하는 경우도 많습니다. 하지만 … 더 읽기