본문 바로가기

분류 전체보기122

2. 서비스 관리 > 2.6 IIS CGI 실행 제한 취약점 개요 점검내용 - IIS CGI 실행 제한 설정 여부 점검 점검목적 - CGI 스크립트를 정해진 디렉토리에서만 실행되도록 하여 악의적인 파일의 업로드 및 실행을 방지하기 위함 보안위협 - 게시팜이나 자료실과 같이 업로드 되는 파일이 저장되는 디렉토리에 CGI 스크립트가 실행 가능한 경우 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 수 있음 참고 - CGI(Common Gateway Interface) : 사용자가 서버로 보낸 데이터를 서버에서 작동중인 데이터처리프로그램에 전달하고 여기에서 처리된 데이터를 다시 서버로 되돌려 보내는 등의 일을 하는 프로그램 - 일반적으로 기본 CGI 디렉토리(C:\inetpub\scripts)는 사용하지 .. 2020. 2. 19.
2. 서비스 관리 > 2.5 디렉토리 리스팅 제거 취약점 개요 점검내용 - 웹서버 디렉토리 리스팅 차단 설정 여부 점검 점검목적 - 웹서버 특정 폴더에 대한 디렉토리 리스팅 취약점을 제거하여 불필요한 파일 정보 노출을 차단하기 위함 보안위협 - 웹서버에 디렉토리 리스팅이 제거되지 않은 경우 외부에서 디렉토리 내에 보유하고 있는 모든 파일 목록 확인 및 파일에 대한 접근이 가능하여 주요 정보의 유출의 가능성이 있음 참고 - 디렉토리 리스팅 취약점 : 디렉토리에 대한 요청 시 기본 페이지가 호출되어 사용자에게 전송하지만 기본 페이지가 존재하지 않는 경우 디렉토리 내에 존재하는 모든 파일의 목록을 보여주는 취약점 점검대상 및 판단기준 대상 - Windows 2000, 2003, 2008, 2012 판단기준 - 양호 : "디렉토리 검색" 체크하지 않음 - 취약.. 2020. 2. 19.
워런 버핏의 주주서한을 읽으면서 든 생각 정리 워런버핏의 주주서한을 읽으면서 생각이 들었던 부분에 대해서 정리를 한다. 우선 워런버핏에 대한 나의 생각은 장기투자와 가치투자의 대가로 생각하여 10년을 보유하지 못할 주식은 10분도 가지고 있지 말라는 워런버핏의 말처럼 장기투자를 주로 하는 투자자로 생각하고 있었다. 우선 생각이 들었던 책의 내용이 아래와 같다. 내가 그레이엄 뉴먼, 버핏 투자조합, 버크셔를 거치면서 63년 동안 계속 차익거래를 하는 것만 보아도 EMT(효율적 시장 이론)가 얼마나 어리석은지 드러납니다. 나는 그레이엄-뉴먼에 근무할 때 회사의 존속기간인 1926~1956년 동안의 차익거래 수익률을 분석해보았습니다. 차입금 없이 거둔 수익률이 연 20%였습니다. 1956년부터 나는 그레이엄의 차익거래 원칙을 먼저 버핏 투자조합에 이어서 .. 2020. 2. 18.
2. 서비스 관리 > 2.4 IIS 서비스 구동 점검 취약점 개요 점검내용 - 불필요한 IIS 서비스 구동 여부 점검 점검목적 - 불필요한 IIS 서비스가 구동 상태인지를 점검하여 제거하고 해당 서비스가 취약점이 제거되지 않은 상태로 외부 위협에 노출되지 않도록 하기 위함 보안위협 - IIS 서비스는 WEB, FTP 등의 서비스를 제공해주는 유용한 서비스이나 프로파일링, 서비스 거부, 불법적인 접근, 임의의 코드 실행, 정보 공개, 바이러스, 웜, 트로이목마 등의 위협에 노출 될 수 있어 서비스 불필요 시 삭제하여야 함 참고 - 일반적으로 불필요한 서비스가 시스템 내 구동되고 있는 경우에는 관리되지 않은 상태로 방치되는 경우가 많아 보안 취약점이 그대로 노출되어 악의적인 공격의 대상이 될 수 있음 점검대상 및 판단 기준 대상 - Windows NT, 200.. 2020. 2. 18.

티스토리툴바