dma

본문 바로가기

전체 글

2023년도 1회 정보보안기사 필기 합격 후기 - 후기 - 오답 더보기

GH(NOB); 무료 클라우드, 무료 서버(공방전용) 무료 클라우드 1. Google Cloud Platform의 무료 계정 Google Cloud Platform에서 무료로 사용 가능한 계정을 만들 수 있다. 이 계정에는 매달 무료로 사용할 수 있는 특정 양의 자원이 포함되어 있다. 2. Amazon Web Services(AWS) 프리 티어 AWS에서도 프리 티어 계정을 제공한다. 이 계정에는 Amazon EC2, Amazon S3, Amazon RDS 등과 같은 AWS 서비스를 무료로 사용할 수 있는 크레딧이 제공된다. 3. Microsoft Azure의 무료 계정 Microsoft Azure에서도 무료 계정을 제공한다. 이 계정에는 매달 무료로 사용할 수 있는 특정 양의 자원이 포함되어 있다. 무료 서버 1. Heroku Heroku는 개발자들이 .. 더보기

GH(NOB); 파일 삽입(File Inclusion) 취약점[RFI, LFI] 1. 파일 삽입 공격 : 파일 삽입 취약점은 공격자가 악성 서버 스크립트를 서버에 전달하여 해당 페이지를 통해 악성 코드가 실행되도록 하는 취약점을 말한다. - 동적으로 파일을 로드할 때 발생하며 삽입할 악성 서버 스크립트 파일 위치에 따라 LFI(Local File Inclusion)와 RFI(Remote File Inclusion)로 나뉜다. #include 함수 : 지정한 파일(페이지)를 현재 페이지에 포함시켜 실행시켜주는 함수다. 개발의 편리함을 가져다줄 수 있지만 만약 파익/페이지 정보를 외부로부터 입력받을 때 적절한 검증을 수행하지 않으면 악성 스크립트를 포함한 페이지가 include 될 수 있다. 주로 php에서 발생하는데 include()함수로 다른 파일을 소스코드에 포함할 수 있어 이를 .. 더보기

GH(NOB); SQL 인젝션 추가+ 2017과 2021 owasp top10 [sql 인젝션] -> 위 사진처럼 sql 인젝션은 XSS와 보안적인 측면에서 긴밀하게 연결되어 병합됐고 2021년 3위로 강등되었다. 하지만 2017년과 2021년 데이터 셋이나 카테고리 구성 등 많은 요소가 달라졌다. - 카테고리 구성 방법 데이터 셋의 수 30 vs 400 OWASP Top 10에서 몇 가지 범주가 변경되었다. 이전 데이터 수집 노력은 추가 조사 결과를 요구하는 필드가 있는 약 30개의 CWE로 지정된 하위 집합에 집중됐지만 거의 400개의 CWE로 늘었다. - 데이터가 범주에 사용되는 방식 2017년에는 가능성을 결정하기 위해 발생률별로 범주를 선택한 다음, 악용 가능성 , 탐지 가능성 및 기술적 영향 에 대한 수십 년간의 경험을 기반으로 .. 더보기

GH(NOB); XSS(크로스 사이트 스크립트) 1. XSS란? : 웹 애플리케이션 보안 취약점 중 하나로, 공격자가 웹 페이지에 악의적인 스크립트 코드를 삽입하여 사용자의 브라우저에서 실행되도록 하는 공격 기술이다. - 이 공격 기술을 이용하면 사용자의 세션 정보, 쿠키정보를 탈취하거나 사용자가 입력한 정보를 가로채거나, 웹 페이지의 내용을 조작할 수 있다. #공격 방식 예) //이처럼 스크립트로 감싸는 것이 가장 기본적인 형태다 //alert안에 값을 document.cookie로 바꾸면 자바스크립트 속성으로 해당 쿠키를 출력하는 것을 악용한 것이다. 다른 예로 , , , 등 다양한 태그를 활용하여 변형공격을 수행할 수 있다. #PHPSESSID란? : PHP서버를 사용할 때 생성되는 세션 ID를 저장하는 쿠키의 이름으로 세션을 유지하기 위한 값이.. 더보기

GH(NOB); 크로스 사이트 요청 변조(CSRF: Cross Site Request Forgery) 1. CSRF란? : 웹 어플리케이션에서 정상적인 경로를 통한 요청과 비정상적인 경로를 통한 요청을 서버가 구분하지 못할 경우 공격자가 스크립트 구문을 이용하여 정상적인 사용자로 하여금 조작된 요청을 전송하도록 하여 게시판 설정 변경, 회원정보 변경 등의 문제가 발생할 수 있는 취약점을 말한다. - 간단하게 스크립트로 서버를 공격해서 희생자의 권한을 탈취하는 공격이다. - 공격자가 GET 또는 POST 방식의 HTTP 요청을 통해 희생자 모르게 공격자의 의도된 행위를 수행하게 하여 특정 피해를 주는 형태이다. - 공격을 당한 사용자의 권한을 공격자가 그대로 사용하게 되므로 사용자의 권한 수준에 따라 피해범주가 달라진다.(피해자가 서버관리자인 경우 서버 자체 탈취 가능) ex) 피싱 메일에서 클릭할 수 있.. 더보기

Part2. 개인정보보호제도 1. 개인정보보호 관련 법률 체계 01) 우리나라 개인정보보호 관련 주요 법 체계 (1) 대한민국 개인정보보호 관련 법제 1) 대한민국의 법제 구조 단계 : 법제 개인정보보호 조항 내용 1단계 : 헌법 헌법 제 10조 모든 국민은 존엄 가치, 행복 추구권, 국가는 개인이 가지는 불가침의 기본적 인권을 확인하고 보장 헌법 제 17조 모든 국민은 사생활의 비밀과 자유를 침해받지 않을 권리 2단계 : 법률 개인정보보호법 사회 전반의 개인정보보호 규율 정보통신망법, 신용정보법 등 규율 대상자 특정하여 개인정보보호 규율 3~4단계 : 시행령(대통령령,총리령, 부령) 대통령령, 국무총리령, 행정안정부령 등 법률엣 정하는 개인정보보호 상세사항 명령 5단계 : 행정규칙(훈령, 예규, 고시, 지침 등) 개인정보의 안전성.. 더보기

# BIND(Berkeley Internet Name Domain) : DNS를 구현한 s/w 중 하나다. 거의 모든 플랫폼에 포팅되었고 가장 널리 사용된다. UDP Flooding 공격 대안 : IP BroadCast 패킷 차단, 리눅스인 경우 echo, chargen 서비스 중지, 사용하지 않는 UDP 서비스 중지 ICMP 이용한 거부 공격 : smurf, ping of death DDoS에 해당하는 공격 유형들 : Trinoo, TFN, TFN2K Stacheldraht : 트리누와 TFN을 참고해 제작된 도구로 통신 암호화 기능 Targa : 여러 종류의 DDoS를 실행할 수 있도록 만든 공격 도구로 bonk, land, nestea, newtear, syndrop.. 스니핑 대응 방안 : ssl, .. 더보기

이전 1 ··· 14 15 16 17 18 19 20 ··· 38 다음

티스토리툴바