최근 정보통신기술의 급속한 발전과 함께 AI, 블록체인 등 전자금융거래 환경이 다양해지고 있다. 그러나 이와 동시에 금융 시스템을 악용하려는 공격자들의 위협도 증가하면서 금융권 보안이 심각한 위기에 처해 있다는 경고가 나오고 있다.
금융감독원은 안정성과 신뢰성을 확보하기 위해 매년 전자금융기반시설 보안 취약점(WEB/MOB/HTS) 평가기준 정리와 수정을 실시한다. 개정된 2024년도 전자금융기반시설 보안 취약점 평가기준을 살펴보자.웹은 10가지, 모바일 11개, HTS 6개 항목이 개정되었다.출
OWASP가 OWASP API Security Top10(2019)을 공유한 지 4년 만에 2023년에 새롭게 갱신된 OWASP API Security Top10(2023)을 발표했다. 4년만에 발표를 했기 때문에 개정된 내용을 살펴보며 어떤 보안 취약점을 살펴보는 것
➰ 서론 웹 애플리케이션의 보안 취약점을 식별하기 위해서는 우선 웹 점검 환경을 구축하는 것이 필요하다. 따라서 이번 블로그 포스팅에서는 피들러(Fiddler), Frida, Nox Player, JADX, OpenSSL를 활용하여 웹 점검 환경을 구축하는 방법을 알아
루팅(Rooting)이란 안드로이드 기기에서 최고 권한(root)을 얻는 것을 의미한다. 루트 권한을 획득하면 사용자는 시스템 파일과 설정에 완전한 접근이 가능해진다. 이를 통해 시스템 내부 저장소 접근, 권한 변경 등 다양한 작업을 수행할 수 있습니다.안드로이드에서는
단말기는 브라우저와 다르게 많은 정보를 내부에 저장하여 사용한다. 이는 단말기 내에 민감한 정보가 저장될 가능성이 높다는 것을 의미한다. 단말기 내에 개인정보, 금융정보, 의료정보 등 민감한 정보가 있을 경우, 해커가 물리적 접근이나 악성 소프트웨어를 통해 이를 탈취할
➰ 취약점 개요 화면 강제실행에 의한 인증단계우회 취약점은 사용자가 인증 절차를 거치지 않고도 애플리케이션의 주요 기능이나 민감한 정보에 접근할 수 있게 하는 보안 약점입니다. 이는 공격자가 특정 방법을 통해 앱의 인증 화면을 우회하고, 보호된 기능이나 데이터에 무단
➰ 취약점 개요 디버그 로그 내 중요정보 노출 여부에 대한 취약점은 시스템 디버깅 과정에서 생성된 로그 파일에 중요한 정보(예: 사용자 비밀번호, 신용카드 정보, 개인식별정보 등)가 포함되어 외부에 노출될 위험을 말합니다. 이러한 정보가 로그 파일에 기록될 경우, 로그
문자로 온 링크를 클릭 한번 잘못했다가 돈이 빠져나가거나 개인정보가 유출된다는 말을 들어본 적 있을 것이다. 이에 활용되는 기술이 '딥링크(DeepLink)'인데, 딥링크는 모바일 웹상에 있는 링크나 그림을 클릭할 경우 기기 내 관련 앱이나 사전에 정의된 특정 웹페이지
➰ 취약점 개요 불충분한 이용자 인증 취약점은 시스템이 사용자 인증 절차를 적절하게 수행하지 못해 발생하는 보안 문제를 말한다. 이 취약점은 공격자가 불법적으로 시스템에 접근하거나 권한을 탈취할 수 있는 기회를 제공한다. 중요정보(개인정보 변경 등) 페이지에 대한 인
➰ 취약점 개요 SQL Injection(SQL 삽입)은 사용자가 간섭 가능한 매개변수(URL 파라미터, XML 등)에 의해 SQL 질의문이 완성되는 점을 이용하여, 개발자가 예상하지 못했던 SQL 문장이 실행되게 함으로써 비정상 질의 가능 여부를 점검하는 공격 기법이
➰ 점검도구 설치 취약한 HTTPS 관련 취약점을 점검하기 위해 nmap과 openssl, sslscan을 설치해보자. 1️⃣ NMAP 1) 네트워크 스캐닝 및 포트 스캐닝 도구 2) Nmap은 열려있는 포트, 운영 체제 감지, 서비스 버전 감지 등을 통해 웹 서버의
➰ XSS?(Cross Site Scripting) 크로스 사이트 스크립팅은 웹사이트에 악성 스크립트를 주입하는 행위를 말한다. 공격자가 상대방의 브라우저에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱
CSRF는 사이트 간 요청 위조의 줄임말로, 공격자가 타 이용자의 권한을 도용하여 특정 웹 사이트의 기능을 실행하게 할 수 있다.🌱CSRF 성공하기 위한 조건?사용자는 보안이 취약한 서버로부터 이미 로그인되어 있는 상태쿠키 기반의 서버 세션 정보를 획득할 수 있어야