OWASP23 Snipe-IT, SecureCodeBox, Wazuh 통합하여 서버 및 웹 취약점 관리 방안 Snipe-IT, SecureCodeBox, 그리고 Wazuh를 통합하여 서버와 웹사이트 단위의 취약점 점검, 결과 대시보드 구성, 그리고 자산 관리 방안을 구축하는 방법입니다. 이 통합 솔루션을 통해 조직의 보안 상태를 체계적으로 운영하고, 실시간 모니터링과 자동화된 취약점 관리를 구현할 수 있습니다.환경 구축Snipe-IT 설정SecureCodeBox 설정 및 활용Wazuh 설정 및 통합통합 관리 및 운영Wazuh에서 SecureCodeBox 스캔 결과 통합보안 설정 준수 여부 체크 스크립트 통합항목별 결과 식별 및 관리SCA 모듈을 통한 커스텀 스크립트 통합FIM(File Integrity Monitoring) 소개Wazuh를 통한 iptables 룰셋 수집Wazuh에서 Osquery 활용리스닝 포.. 2024. 11. 27. OAuth 2.0에서 PKCE 중요성과 기업 보안 전략 수립 가이드 현대의 디지털 환경에서 보안은 선택이 아닌 필수입니다. 특히 모바일 애플리케이션과 싱글 페이지 애플리케이션(SPA)의 증가로 인해 클라이언트 보안에 대한 중요성이 더욱 강조되고 있습니다. 이 글에서는 OAuth 2.0에서 PKCE(Proof Key for Code Exchange)의 역할과 보안 효과를 살펴보고, 기업이 포괄적이고 효과적인 보안 전략을 수립하고 실행하는 방법에 대해 알아보겠습니다.OAuth 2.0에서 PKCE의 목적과 보안 효과PKCE란 무엇인가?PKCE(Proof Key for Code Exchange)는 OAuth 2.0 프로토콜에서 인증 코드 흐름의 보안을 강화하기 위해 도입된 확장 기능입니다. 특히 모바일 앱이나 SPA처럼 클라이언트 비밀(Client Secret)을 안전하게 저장.. 2024. 11. 4. Gogs 내장 SSH 서버 취약점을 중심으로 보안 강화 방안 소프트웨어 개발에서 Git은 필수적인 버전 관리 도구로 자리 잡았습니다. 이를 웹 기반으로 쉽게 관리할 수 있게 해주는 서비스 중 하나가 바로 Gogs입니다. 그러나 최근 Gogs의 내장 SSH 서버에서 보안 취약점이 발견되어 사용자들의 주의가 요구되고 있습니다. Gogs가 무엇인지 내장 SSH 서버의 취약점과 그에 대한 해결 방안입니다.1. Gogs란 무엇인가?Gogs는 Go 언어로 작성된 가벼운 Git 서비스입니다. 단일 바이너리 파일로 제공되어 설치와 설정이 매우 간편하며, 다음과 같은 특징을 가지고 있습니다:다양한 플랫폼 지원: Windows, macOS, Linux 등 여러 운영체제에서 실행 가능경량화된 성능: 최소한의 리소스로 빠르게 동작풍부한 기능:Git 저장소 관리사용자 및 팀 관리이슈 추.. 2024. 10. 19. OWASP Kubernetes 보안 위험요소 Top 10 소개 및 대응 가이드 OWASP(오픈 웹 애플리케이션 보안 프로젝트)는 소프트웨어 보안 개선을 위해 활동하는 비영리 단체로, 웹 애플리케이션 보안에 중점을 두고 있지만, 현대 시스템 설계의 특성상 범위를 확장해 왔습니다. Kubernetes 환경에서 가장 일반적인 공격 벡터를 식별하기 위해 OWASP는 OWASP Kubernetes Top 10을 작성했습니다. 이는 Kubernetes 환경에서의 보안 태세를 확인하고 모든 가능한 위협을 고려하는 데 도움이 됩니다. OWASP Kubernetes Top 10 프로젝트는 보안 실무자와 엔지니어에게 유용한 인식 및 지침 리소스를 제공하며, 사건 대응 엔지니어가 Kubernetes 위협을 이해하는 데 도움이 됩니다. 또한, MITRE ATT&CK 기술을 통해 공격자의 기술을 등록하고.. 2024. 10. 7. Kubernetes 환경에서 OWASP ZAP 동적 스캔환경 구성 OWASP ZAP을 Kubernetes 환경에 구축하고 관리하는 전체 프로세스를 설명드리겠습니다. 이는 Helm 차트를 이용한 설치부터 스캔 설정, 동적 컨테이너 배포, 결과 리포팅까지의 과정을 포함합니다.1. 사전 준비먼저 Kubernetes 클러스터와 Helm이 설치되어 있어야 합니다. Kubernetes 클러스터는 v1.11.0-0 이상 버전이 필요합니다.curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash2. OWASP ZAP Helm 차트 설치SecureCodeBox 프로젝트의 zap-advanced Helm 차트를 사용하여 OWASP ZAP을 설치합니다. 이 차트는 필요한 모든 종속성과 함께 ZAP을 Ku.. 2024. 5. 26. 이전 1 2 3 4 5 다음 728x90