본문 바로가기

보안21

비밀번호 변경시 임의 문자와 숫자 조합으로 생성후 회원에게 이메일 전송 (비번 암호화 원리 팁) 회원가입후 비밀번호를 잊은 경우 기존 비번이 암호화 처리 되어 있어(개인정보 보호법에 의해 비밀번호 암호화 의무화) 비번을 임의로 생성후 메일로 발송해야 합니다. 문자 조합을 간단하게 해 버릴 경우 해킹 시도시 비번찾기를 이용해서 이메일로 수신된 비번을 보지 않아서 추측해서 알아 낼 수 가 있습니다. 예로 "aa1234bb" 라는 임시 비번으로 생성해서 회원에게 발송하는데, 항상 숫자 부분만 변동해서 보내 준다면 해커는 역으로 0000~9999까지 조합해서 임의로 접속 시도를 해볼수 있게 됩니다. 간혹 보안 적용이 허술한 사이트의 경우 위와 같이 비번을 발송해주는 곳이 더러 있더군요. 개인정보 유출 사고는 위와 같이 개발자의 부주의가 매우 크다고 보면 됩니다. 문자 조합을 복잡하게 하는게 복잡하지도 않습.. 2010. 4. 19.
MD5 Decript 암호화 된 값을 해독해 주는 사이트 MD5는 Hash 방식으로 암호화 하는 것으로 한번 암호화 된 값은 decode, Decript 복호화 할 수 없는게 원칙이며 입력한 사용자의 값을 MD5로 암호화 해서 두개의 암호화 된 값이 일치 한지 유무만 판별 하는 방식이다. 요즘은 SHA 암호화 방식을 많이 이용하고 있으며, 모두 hash 암호화 방식이다. 이와 달리 base64_encode(), base85_encode() 과 같은 암호화 방식은 언제든지 복호화 할 수 있다. base64_decode() 를 이용하면 base64로 encode된 값을 원래 값으로 손쉽게 변경 가능하다. 따라서, 암호화라고 하기엔 다소 부족함이 있다. 하지만, MD5 역시 복호화 할수 있는 방법이 있다. http://www.md5decrypter.com 사이트에서.. 2010. 4. 12.
[컴퓨팅] 네이트온 쪽지를 이용한 해킹 및 악성프로그램 유포 주의! 최근 네이트온 해킹으로 인해 지인을 사칭하여 쪽지로 발송하고 있다. "이 신발 어때?" 등의 메시지와 함께 악성코드 프로그램을 바로 설치 하도록 하는 사이트 URL 주소 내용으로 보내고 있으며, 해당 사이트로 접속시 바로 설치 파일이 뜨도록 설정 되어 있다. 마치 "화면 보호기" 파일 설치를 요청하게 되는데 "see.scr" 파일을 설치하게 되면 화면 보호기가 동작하는게 아니라 악성코드가 PC에 설치 되는 것이다. 이와 같이 다양한 방법으로 악성 프로그램을 유포하는 사태가 속출하고 있는 만큼 인터넷 사용에 항상 주의를 해야한다. 다행이도 네이트온 쪽지에서 링크를 클릭시에는 해당 사이트 접근을 차단하고 있지만, 만약 친구가 보낸것으로 판단하여 브라우저에 직접 해당 URL 주소를 입력후 접속한다면 바로 설치.. 2010. 3. 8.
[보안] 서버 설치 후 기본적으로 해야할 보안 사항을 간단하게 정리 해보겠습니다. 1. 서버패치 주기적으로 설치 서버 패치는 항상 주기적으로 해주셔야겠죠! 윈도우 서버의 경우 윈도우업데이트 기능이 있으며 리눅스의 경우 yum으로 편리하게 업데이트 가능하죠 yum -y upgrade 2. 비번 주기적으로 변경 루트 뿐만 아니라 일반 개정 까지 주기적으로 변경 해주시는게 좋습니다. 요즘, 같은 네트워크 대역의 서버 또는 라우트 등의 장비등이 해킹 당하면 지나 다니는 모든 패킷을 수집하여 관리자 개정등을 분석하여 접속하게 됩니다. 따라서, 주기적으로 변경 한다면 수집된 개정이 이전 개정이라 접속 못하게 되겠죠. 어디까지나 조금이라도 피해를 줄이기 위해선 변경 해주시는게 좋습니다. 3. OS 방화벽 및 포트 설정 윈도우든 리눅스든 OS 자체에 방화벽이 있습니다. 원리는 포트를 막느냐 열어 주.. 2009. 10. 27.