NTP Pool Project를 추천합니다. NTP Pool Project는 2003년에 Forum으로 시작하여 전세계 클러스터형태로 NTP Server Pool을 구성하고 있는 거대한 NTP Server 네트워크입니다. 이 거대한 프로젝트는 엔지니어라면 잘 알고 있는 유명한 Packet과 NetActuate 회사에서 서버호스팅과 대역폭을 제공하고 있어서 그 신뢰를 더하고 있습니다. 또한, 현재 전세계에 대륙별로 4,576개의 NTP Server를 여러분의 것으로 설정할 수 있기 때문에 글로벌 회사인 […]
Q. 전세계 10여 국가에 분산되어 있는 서버들에 대한 검증된 NTP Server 설정에 대한 문의 더 읽기"
우선, 고객님과 똑같은 고생을 해본 개발자로써 반갑기 그지 없습니다~ ^^페이지 이동 구조로 되어 있는 웹사이트의 크롤러를 만들때 Web crawler를 Selenium WebDriver를 이용하면 만들기 간편합니다. 그런데 이런 WebDriver들은 서버의 브라우저와 브라우저 드라이버를 통해서 대상 웹사이트를 크롤링하기 때문에 호스트가 필요하고 localhost를 사용하게 됩니다. 그러다 보니 기본적으로 socks4 127.0.0.1 9050 를 설정값으로 사용하는 proxychains와 충돌나면서 denied 또는 timeout
Q. Selenium WebDriver와 Proxychains의 충돌 해결 방안에 대한 문의 더 읽기"
긴급하게 중요한 정보들만 공유합니다. 관련 취약점들이 계속 나올수 있기 때문에 지속적으로 모니터링해서 적합한것들을 사용하세요~ 이 취약점의 원격 공격 원리는? (간단한 이해) – https://www.fastly.com/blog/digging-deeper-into-log4shell-0day-rce-exploit-found-in-log4j– https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/ 이 취약점이 어떤 제품들에게 노출되어 있는가? (취약한 제품 목록) – log4j를 사용하는 제품들이 진짜로 상당히 많다는 것을 알 수 있을 것입니다.https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 이미 공격을 당했는지 어떻게 알 수 있는가? (침해 여부 점검용 python 프로그램)
Q. Log4j RCE (CVE-2021-44228) 취약점 어떻게 확인할 수 있나요? 더 읽기"
Microservice Architecture의 보안 요구사항 당사가 금융회사들을 중심으로 Microservice Architectur기반의 정보시스템 개발에 대한 개발보안 컨설팅들을 수행하면서 6개 영역 48개의 표준 보안요구사항을 정리하였다. Microservice Architecture는 별도의 Service Port를 제공하는 Docker Container로 다수의 Microservice들을 구현하기 때문에 인증, 접근권한, 로깅, 암호화, 개인(신용)정보보호 등 거의 모든 부문의 정보보안 아키텍처를 다른 시각에서 재조명 해봐야 한다. 외국은행의 경우 약 1,500개의 Microservice로 구성된
Q. 회사에서 정보시스템 개발을 Microservice Architecture로 한다고 하는데 정보보안 관점에서 고려사항에 대한 문의 더 읽기"
말씀하신 내용에 따르면 외부망에서 진행하는 외부 모의해킹 진단 수행 결과로 짐작됩니다.진단자는 외부망에 위치하여 대상 시스템을 외부자의 입장에서 진단을 수행하는 외부 모의 해킹 진단, 또는 External Penetration Test 로 판단됩니다.그러면, 이 진단자(외부망에 위치)와 대상 웹사이트의 사이에는 어떤 기술 요소(시스템)이 존재할까요?기업이나 조직의 인프라 구성에 따라 다르겠지만, 일반적으로 아래와 같은 기술 요소들이 있을 것입니다. [| 진단자 |] –
Q. 웹서버에 HTTPS TLS/SSL Cipher Suite 취약점의 진위 여부에 대한 문의 더 읽기"
간혹, 모바일 앱이나 웹사이트 모의 해킹 진단을 하다 보면, 서버의 공개키를 이용해서 데이터를 암호화하지 않고 임의의 대칭키 방식으로 데이터를 암호화해서 서버에 전송하는 경우가 있습니다. 대부분의 대칭키 방식은 클라언트에 키가 있기 때문에 이를 복호화하는 것은 시간 문제일 뿐입니다. 어떤 경우에는 그 키를 그냥 base64로 인코딩하거나 shift기법 또는 XOR로 쓰는 경우도 있어서 공격자 관점에서 복호화가 아주 쉬웠던
Q. HTTPS를 적용하는 웹사이트에서 서버의 공개키로 데이터 암호화 적용을 어떻게 하나요? 더 읽기"
Websocket 구현 시 고려해야 하는 보안 사항 1. Authentication mechanism비인가자의 Websocket접근을 방지하기 위하여 적절한 인증 메커니즘을 적용한다. 2. Access Control인가된 사용자 또는 디바이스만 접근할 수 있도록 적절한 방법으로 접근 통제를 적용한다. 3. Session ManagementSession은 비인가된 접근을 방지하기 위하여 적절하게 관리되어야 한다. 특히, Websocket의 disconnections, timeouts, session검증 등에 대한 적절한 처리가 적용한다. 4. Transaction EncryptionClient와 Server간
Q. Websocket 개발 시 보안고려사항에 대한 문의 더 읽기"
