Dukbong

웹 서비스에서 URL endpoint의 작은 노출만으로도 보안 사고로 이어질 수 있습니다.공격자는 노출된 URL 정보를 바탕으로 브루트포싱(Brute-forcing) 기법을 통해 접근 가능한 숨겨진 경로나 기능을 찾아내고 이를 악용할 수 있습니다.1. 작은 노출이 불러오는 큰 위협서비스 운영 중 일부 URL이 외부에 노출되는 일은 흔히 발생하지만 이러한 정보가 공격자에게는 서비스 전체 구조를 파악하는 단서가 될 수 있습니다. 특히 다음과 같은 경우 심각한 보안 사고로 이어질 수 있습니다.인증/인가가 제대로 적용되지 않은 경우관리자 페이지 또는 민감한 기능에 직접 접근 가능한 경우따라서 URL 노출은 단순한 실수가 아닌 전체 보안 체계의 붕괴로 이어질 수 있는 취약점입니다.2. Brute-forcing U..

Redis Transaction Redis에서도 트랜잭션(Transaction) 개념을 지원합니다.트랜잭션은 여러 개의 명령어를 하나의 묶음으로 실행하는 것처럼 Redis에서 명령합니다.MULTIDECR coupon:summer_sale:stockLPUSH user:1:coupons "summer_sale"EXEC해당 예시를 설명해보겠습니다.MULTI : 트랜젝션 시작DECR, LPUSH 명령어를 Queue에 삽입EXEC : Queue에 삽입한 명령어를 한번에 실행기본 구성Redis 트랜잭션은 다음 세 가지 명령어를 중심으로 이루어집니다.MULTI : 시작EXEC : 순차적으로 실행DISCARD : Queue안에 있는 데이터 모두 제거작동 방식Redis 트랜잭션은 위에서 말했듯이 명령어를 모아뒀다가 EX..

해킹 공격에서 비밀번호 탈취는 핵심적인 목표로 공격 대상이 되는 계정은 크게 일반 사용자, 시스템 운영에 필요한 특수 사용자 그리고 시스템의 모든 권한을 가진 루트(Root) 사용자로 나눌 수 있습니다.이 중 특히 특수 사용자나 루트 사용자의 비밀번호 탈취 사건은 시스템 전체의 보안을 무너뜨리고 대규모 정보 유출이나 서비스 마비와 같은 심각한 문제를 야기하며 뉴스 속보로 다뤄지곤 합니다. 이처럼 치명적인 피해를 막기 위해 리눅스 시스템에서는 강력한 비밀번호 정책과 철저한 관리가 필수적입니다.이번 글에서는 리눅스 시스템의 사용자 계정 정보와 비밀번호 보안의 핵심이 되는 /etc/passwd와 /etc/shadow 파일을 깊이 있게 분석하고 이를 통해 비밀번호 정책을 어떻게 설정하고 관리하는지 알아보겠습니다..