최근 여러 보안팀 업체에서 「HTTP/2 취약점」 점검으로 확인 요청이 들어와 내용을 확인해 보니 다음과 같습니다. 사용자가 엣지「Edge」나 크롬「Chrome」 같은 브라우저를 이용하여 대다수의 일반적인 「HTTP/1(1.1)」서버에 하나의 요청「Request #1」이 들어오면 1:1로 「Response #1」 응답을 합니다. 하지만 네이버나 구글 같은 대형 포털 사이트의 경우는 클라이언트에서 여러 개의 동시 「Request #1-100」 요청 및 「Response #1-100」 응답을 처리하기 위해 최소 「HTTP/2」 서버 서비스를 이용합니다. 하지만 공격자들은 이런 좋은 기능을 악용하여 하나의 클라이언트에서 여러 요청을 무한정으로 요청하여 DDoS의 형태로 공격하는 「Rapid Reset Atta..
지금 전 세계적으로 떠들썩하게 만드는 역대 사상 최악의 보안 결함이라는 취약점이 발견되어 난리가 되고 있습니다. 바로 아파치 소프트웨어 재단의 JAVA 프로그래밍 언어로 개발된 Log4 j와 Logback 때문인데요. 이것을 설명하기 전에 앞서 필자는 개발자는 아니기 때문에 운영의 입장에서 설명을 드리고 조치하는 방법을 안내하도록 하겠습니다. 솔직히 JNDI와 LDAP 취약점이니 뭐니 해도 제대로 이해하고 진행하시는 분들이 몇 있을까 합니다. 저도 뉴스나 보안팀에서 하라는 대로 진행할 뿐이기에 조금이라도 이해를 도와드리기 위해 진행과정 전체를 보여드릴까 합니다. 더 자세한 내용을 확인하기 위한 분들은 문서를 참조해주시기 바랍니다. ※ 리눅스 기준으로 작성되었습니다. (윈도우 서버라고 해서 크게 다를 부분..
※ 테스트 환경 Rocky Linux - HTTP(2.4.x)/Apache Tomcat(10.0.10) 연동 서버 Windows 서버에 설치했더라도 확인 방법 및 적용은 비슷합니다. 보안 취약점 조치 관련으로 공유합니다. □ 확인 방법(순서대로) ※ 브라우저는 엣지(Edge)로 하였으며 크로미움 기반은 대체로 동일한 패턴입니다. ① [F12] 클릭 또는 오른쪽 상단(···) 클릭 ▷ 기타 도구 ▶ 개발자 도구(Ctrl+Shifr+I) 클릭 ② 네트워크 클릭(기본 화면으로 불러올 수 있습니다.) ③ 개발자 도구 상태에서 사이트 재 접속(새로 고침), 이름 부분에서 처음으로 불러오는 기본 페이지 이름을 선택하면 됩니다.(일반적으로 호스트로 연결되어 있다면 Index.jsp 등을 선택합니다.) 머리글을 클릭하..
Get SSL Security Certificate Free [Let's Encrypt] SSL [Secure Socket Layer] 서버와 사용자(브라우저) 간의 통신을 할 경우 정보를 함호화 하고 도중에 해킹을 통해 정보가 유출이 된다고 하더라도 정보의 내용을 보호할 수 있는 보안 인증 솔루션 기술이라고 생각하시면 됩니다. 최근 브라우저 제공하는 업체마다 보안 인증서(SSL)가 적용된 [HTTPS(443)://도메인 주소]를 이용하지 않을 경우 사이트의 이미지나 확장자, 첨부파일 등이 제대로 작동되지 않도록 보안 업데이트를 하고 있으며 선택사항이 아닌 이미 강제로 적용을 하고 있습니다. [스크린샷 참고] 이전에는 [SSL For Free] / [ZeroSSL]에서 무료로 발급해주는 인증서를 이용했다..
Images Blocked by a Browser - Mixed Content Policy 최근 들어 호스팅 서비스 문의가 많아진 것 중 하나가 웹 브라우저에서 이미지가 뜨지 않는다는 문의입니다. 웹을 통해 보는 모든 서비스가 해당되며 특히 이미지를 많이 사용하는 쇼핑몰 사이트, 광고나 뉴스레터 및 공고문을 많이 보내는 웹메일 서비스에서 많이 발생합니다. 안 뜨는 이유는 여러 가지가 있지만 결론을 바로 말씀드리자면 최근 브라우저를 제공하는 기관들이 HTTPS와 HTTP 혼합 콘텐츠 사용 정책 변경으로 인해 기본적으로 보이지 않게 처리하여 발생하는 문제가 가장 많습니다. 혼합 콘텐츠[Mixed Content]란? 간단하게 말씀드리면 "HTTPS(443)://도메인 주소", SSL 보안 인증서가 적용된 사이..
Get SSL Security Certificate Free [SSL For Free] SSL [Secure Socket Layer] 서버와 사용자(브라우저) 간의 통신을 할 경우 정보를 함호화 하고 도중에 해킹을 통해 정보가 유출이 된다고 하더라도 정보의 내용을 보호할 수 있는 보안 인증 솔루션 기술이라고 생각하시면 됩니다. 최근 브라우저 제공하는 업체마다 보안 인증서(SSL)가 적용된 [HTTPS(443)://도메인 주소]를 이용하지 않을 경우 사이트의 이미지나 확장자, 첨부파일 등이 제대로 작동되지 않도록 보안 업데이트를 하고 있으며 선택사항이 아닌 이미 강제로 적용을 하고 있습니다. [스크린샷 참고] 원래 전문 보안 인증서 발급 업체 사이트를 통해 최소 1년 단위로 비용을 지불하고 적용을 했으며 ..