반응형 보안관리5 개인정보 보호법 개정 : 제39조의 6 개인정보 파기에 대한 특례조항 삭제 개인정보 보호법 개정에 따라 휴면회원 처리되어 있던 나의 계정이 휴면회원 해제된다는 메일을 받았다. 사실 휴면회원 된다는 메일을 받을 정도가 되면 내가 여기도 가입했었나 하고 깨닫는 사이트가 대부분이긴 하다. 현재 가입한 웹 사이트에서 1년동안 활동이 없는 경우 개인정보를 분리보관 조치하는 것은 개인정보 보호법 제39조의6 개인정보의 파기에 대한 특례에 의거한 조치이다. 이용자의 요청에 따라 달리 정한 경우는 그에 따른다는 내용이 있어서 개인정보 보호 기간을 직접 지정하는 사이트도 봤다. 기본이 1년, 5년 영구회원 이런식으로 설정하게 해두어서 사용자에 요청에 따른 보관이라는 식으로 소명하는 듯 함. 제39조의6(개인정보의 파기에 대한 특례) ① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안.. 2023. 9. 21. log4j log4j2 보안 취약점 조치방법 : pom.xml에서 라이브러리 찾는법 및 설정 변경 주말 사이에 아주 난리가 났다 ^_ㅠ 오픈소스인 log4j2의 취약점으로 인해 대대적인 점검 및 조치가 있었다. 최고 위험도의 보안 취약점이라고 하는데 JAVA 공화국이나 다름없는 대한민국은 더더욱이나 위험하다고 보인다. 아니나다를까 전자정부 프레임워크에도 log4j를 사용하고 있는 관계로 프레임워크 버전별로 사용중인 log4j 버전을 안내하고 조치 방안을 공지하는듯 하다. https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=74&bbsId=6&nttId=1838 공지사항 | 표준프레임워크 포털 eGovFrame 처리중입니다. 잠시만 기다려주십시오. www.egovframe.go.kr log.. 2021. 12. 14. OWASP (Open Web Application Security Project) 보안취약점 조치를 하다보면 보게 되는 특정한 용어들이 있다. 그 중 아주 자주봤던 OWASP에 대해 자세히 알아보기로 하자. OWASP (Open Web Application Security Project) OWASP(Open Web Application Security Project)는 웹 애플리케이션 보안과 관련된 내용을 연구하는 프로젝트로, 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 연구 결과를 토대로 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표한다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하는 것으로 2004년, 2007년, 2010년, 2013년, 2017년까지 3.. 2021. 4. 18. [보안취약점] 웹 서비스 메소드 설정 공격 조치방안 웹 서비스 메소드라하면 생소하게 느껴질 수 있지만, 익숙한 단어로 얘기하자면 HTTP METHOD이다. Request를 보낼 때, method로 지정하는 GET과 POST가 가장 많이들 접해봤을 방식인데, RESTful 형태를 많이 사용하는 요즘은 PUT, DELETE 등도 익숙하지 않을까 싶다. 보안취약점 중 '웹 서비스 메소드 설정 공격'은 해당 사이트에서 허용된 웹 서비스 메소드가 어떤 것들이 있나 확인해서 이를 이용한 공격을 할 수 있는 취약점이다. 기본적으로 웹 서비스 메소드에 어떤 메소드가 있는지 알아보고, 이를 막기 위해서 어떤 조치를 하면 되는지 살펴보자. 1. 웹 서비스 메소드 종류 익숙한 GET, POST, PUT, DELETE 외 아래와 같은 대상들이 있다. 정리하는 김에 표로 만들어.. 2020. 10. 26. [보안취약점] 에러페이지를 통한 정보노출 조치 / jeus, webtob 설정 보안취약점 도출내역을 조치 방법을 공유하고자 한다. 전체적으로 다양한 블로그를 서치하다가 발견된 내용들을 모두 조합하였고 서버 적용 결과 정상적으로 조치됨을 확인하여 아래와 같이 정리한다. 취약점 항목에서 오류페이지가 노출되어 보완 조치가 필요하다는 안내를 받았다. 오류 발생 시, 설정된 기본 오류페이지로 redirect 시키고 있는데 해당 페이지의 HTTP STATUS 값이 200이 아니라는 이유에서다. 모두 알고있겠지만 404, 500 에러 등은 에러코드만으로 어떤 오류인지를 알 수 있는데 이 조차도 오류페이지의 상태값을 통해 특정한 상태를 알 수 있게 한다는 이유로 조치가 필요하다는 것이다. 간단하게는 오류 페이지의 jsp 페이지 등의 제일 상단에 STATUS 값을 정상으로 인식시킬 수 있도록 re.. 2020. 10. 24. 이전 1 다음 반응형