서버관련해서 궁금한게 있습니다.

chkang2015의 이미지
웹 서버에서 sql 인젝과 같이 sql의 취약점은 url에서 유저가 접근 가능하기 때문에 취약한건 알겠습니다. 제가 여기서 더 궁금한건 서버에 침입시 내부에 침입자가 원하는 프로세스를 구동하거나 서버의 물리 메모리에 접근하여 메모리단에서 읽고 쓰는 정보를 엿볼 수 있는가 입니다. 구글에서 검색을 해도 물리 메모리에 접근하는 해킹 내용은 없어 이렇게 물어봅니다. 스프링 부트로 서비스되는 웹 서버 프로세스를 해킹해서 다른 프로세스로 공유 메모리 IPC를 이용해 정보를 정달하는 것도 취약점이 있는지 궁금합니다. 그리고 만약 취약점 방어를 하려면 어떻게 해야 하는지 궁금합니다. 서버단 메모리, 프로세스 방어는 시스템적으로 해야하는지(예를 들어 서버단에 백신이나 기타 트로이젠,멀웨어 같은 바이러스 방어를 위한 방화벽을 따로 설치한다던지..) 웹 서버 프로세스에서는 따로 처리 해줘야하는게 있는지.. 궁금한게 너무 많네요 ㅠㅠ
세벌의 이미지

글 읽다가 숨막혀 죽겠습니다. 어디서 끊어 읽어야 되는지...
https://wiki.kldp.org/wiki.php/DocbookSgml/Beginner_QA-KLDP#AEN70
참조하여 하나씩 질문해 보셔요. :)

ymir의 이미지

> 웹 서버에서 sql 인젝과 같이 sql의 취약점은 url에서 유저가 접근 가능하기 때문에 취약한건 알겠습니다.
사용자의 입력을 적절한 필터링을 거치지 않고, 바로 SQL 에 삽입하는 것이 문제이지, SQL 자체가 취약한 것이 아닙니다.

> 서버에 침입시 내부에 침입자가 원하는 프로세스를 구동하거나 서버의 물리 메모리에 접근하여 메모리단에서 읽고 쓰는 정보를 엿볼 수 있는가 입니다.
애초에 물리 메모리를 덤프할 수 있다손 치더라도 프로세스/자료 구조를 알고 적절히 내용을 파싱하지 못하면 의미 없습니다. DB 를 덤프뜨거나, 중간에 프락시를 설치하거나 스니핑을 해서 패킷들을 가로채거나, 시스템을 삭제하거나, 다른 네트워크의 서버에 침입을 시도하거나.. 등등 할 수 있는 것들이 엄청 많은데, 정체 불명의 데이터가 가득한 메모리에 다이렉트로 접근해서 무슨 이득이 있을까 싶네요.

스프링 부트 쪽은 잘 모르니 건너뛰고.. 서버의 보안은 간단합니다.
불필요한 서비스 제거하고, 항상 최신 패치를 적용하고, 적절히 ACL 을 걸어서 서비스별로 접근을 제한하고, 네트워크에는 TLS 와 같은 보안 프로토콜을 적용하고, 암호는 항상 충분히 길고 복잡하게 만들고, 취약한 알고리즘은 사용하지 않으면 기본은 합니다.
그 외에 시큐어 코딩 가이드를 준수해서 서비스를 만들고, 주기적으로 nessus 나 acunetix 같은 취약성 스캐너를 돌려서 문제를 찾아서 제거하면, 웬만한 스크립트 키디들은 상대할 수 있을 겁니다.
좀 더 중요도가 높은 서버라면 이제 IPS 나 WAF 등을 도입하는 것도 검토해 볼 수 있을 것 같네요.

되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.