본문 바로가기

교육 및 자격증

GH(NOB); 크로스 사이트 요청 변조(CSRF: Cross Site Request Forgery) 1. CSRF란? : 웹 어플리케이션에서 정상적인 경로를 통한 요청과 비정상적인 경로를 통한 요청을 서버가 구분하지 못할 경우 공격자가 스크립트 구문을 이용하여 정상적인 사용자로 하여금 조작된 요청을 전송하도록 하여 게시판 설정 변경, 회원정보 변경 등의 문제가 발생할 수 있는 취약점을 말한다. - 간단하게 스크립트로 서버를 공격해서 희생자의 권한을 탈취하는 공격이다. - 공격자가 GET 또는 POST 방식의 HTTP 요청을 통해 희생자 모르게 공격자의 의도된 행위를 수행하게 하여 특정 피해를 주는 형태이다. - 공격을 당한 사용자의 권한을 공격자가 그대로 사용하게 되므로 사용자의 권한 수준에 따라 피해범주가 달라진다.(피해자가 서버관리자인 경우 서버 자체 탈취 가능) ex) 피싱 메일에서 클릭할 수 있.. 더보기
Part2. 개인정보보호제도 1. 개인정보보호 관련 법률 체계 01) 우리나라 개인정보보호 관련 주요 법 체계 (1) 대한민국 개인정보보호 관련 법제 1) 대한민국의 법제 구조 단계 : 법제 개인정보보호 조항 내용 1단계 : 헌법 헌법 제 10조 모든 국민은 존엄 가치, 행복 추구권, 국가는 개인이 가지는 불가침의 기본적 인권을 확인하고 보장 헌법 제 17조 모든 국민은 사생활의 비밀과 자유를 침해받지 않을 권리 2단계 : 법률 개인정보보호법 사회 전반의 개인정보보호 규율 정보통신망법, 신용정보법 등 규율 대상자 특정하여 개인정보보호 규율 3~4단계 : 시행령(대통령령,총리령, 부령) 대통령령, 국무총리령, 행정안정부령 등 법률엣 정하는 개인정보보호 상세사항 명령 5단계 : 행정규칙(훈령, 예규, 고시, 지침 등) 개인정보의 안전성.. 더보기
# BIND(Berkeley Internet Name Domain) : DNS를 구현한 s/w 중 하나다. 거의 모든 플랫폼에 포팅되었고 가장 널리 사용된다. UDP Flooding 공격 대안 : IP BroadCast 패킷 차단, 리눅스인 경우 echo, chargen 서비스 중지, 사용하지 않는 UDP 서비스 중지 ICMP 이용한 거부 공격 : smurf, ping of death DDoS에 해당하는 공격 유형들 : Trinoo, TFN, TFN2K Stacheldraht : 트리누와 TFN을 참고해 제작된 도구로 통신 암호화 기능 Targa : 여러 종류의 DDoS를 실행할 수 있도록 만든 공격 도구로 bonk, land, nestea, newtear, syndrop.. 스니핑 대응 방안 : ssl, .. 더보기
Sec17; 정보보안 법규 1. 법규관련 개요 - 대한민국의 법체계는 최상위인 헌법부터 법률, 시행령, 시행규칙, 고시로 이뤄져 있다. - 상위로 갈수록 개념적, 방향제시, 하위로 갈수록 세부적, 구체적으로 기술된다. 구분 1. 헌법 : 대한민국 모든 법의 최상위 법 2. 법률 : 헌법을 바탕으로 국회에서 제정 또는 개정 3. 시행령 : 대통령이 정해서 국회를 통과한 명령 4. 시행규칙 : 시행령 내에서 각부장관이 정하는 명령 5. 고시 : 행정기관의 법령규정에 따른 실제 행동지침으로 행정처벌 등의 제재가능 2. 개인정보보호법(시행:2020.08.05.) (1) 개요 1) 목적 이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. 2) 주요내.. 더보기
sec 01; 시스템 기본 학습 1. 윈도우 기본 학습 (1) 윈도우 인증과정 1) 윈도우 인증 구성요소 ① 윈도우 인증과정에서 사용되는 주요 서비스에는 LSA(Local Security Authority), SAM(Security Account Manager), SRM(Security Reference Monitor) 등이 있다. ② LSA 서비스 기능 모든 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사(로컬 및 원격 로그인 포함) 계정명과 SID를 매칭하며 SRM이 생성한 감사 로그를 기록 NT 보안의 중심 서비스이며 보안 서브시스템(Security Subsystem)이라 불린다. ③ SAM 서비스 기능 사용자/그룹 계정 정보에 대한 데이터베이스를 관리 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드.. 더보기
GH(NOB); SQL 인젝션 SQL 인젝션 공격이란? : 웹 애플리케이션에서 입력 받아 데이터베이스로 전달하는 정상적인 SQL 쿼리를 변조, 삽입하여 불법 로그인, DB 데이터 열람, 시스템 명령 실행 등을 수행하여 비정상적인 데이터베이스 접근을 시도하는 공격 기법이다. - 주로 웹사이트에서 DB안에 개인정보를 탈취할 때 사용한다. - '(싱글쿼터, 작은 따옴표), #(주석), 등을 이용해서 문법 형식을 파괴한다. ex) ' or 1=1# //#은 #뒤에 나오는 것을 주석처리한다. - DB에 악성 스크립트를 삽입하여 접근하는 사용자를 피싱 사이트로 유도 - Stored Procedure(저장된 프로시저)를 통한 OS 명령어 실행 - owasp top10에서 인젝션 sql 인젝션은 owaasp top 10에서 1위를 하다가 2021년.. 더보기
GH(NOB); 세션(Session) vs 쿠키(Cookie) 쿠키와 세션을 사용하는 이유 : HTTP의 connectionless와 stateless 특징 때문이다. - HTTP 프로토콜은 브라우저와 웹 서버 간 통신을 위한 프로토콜로 요청과 응답으로 통신을 한다. 요청 : 클라이언트 -> 서버(HTTP Request) 요청에 의한 응답 : 서버 -> 클라이언트(HTTP Response) 비연결성 (connectionless) : 클라이언트가 요청한 서비스를 서버가 요청, 응답받은 후에 연결 종료한다. - 동시의 다수 연결이 들어오면 부하가 발생 -> 통신후 연결이 종료하게 된다.(Syn Flooding공격 위험) 비상태성(stateless) : 서버는 클라이언트에게 요청 메시지를 받고 응답하지만 이후에 클라이언트에 대한 어떤 상태 정보도 저장하지 않는 특징이다... 더보기
DB(Database) DB란? 구조화된 정보 또는 데이터의 조직화된 모음으로서 일반적으로 컴퓨터 시스템에 전자적으로 저장되는데 이를 데이터베이스라한다. 간단히 데이터의 집합이다. 예)카카오톡의 계정정보, 카카오톡 대화 정보, 카카오톡 이미지/동영상 정보..모두 DB에 저장된다.(SK데이터센터에 저장되어 있다) DBMS(Database Management System)란? : 데이터를 포괄적으로 관리하는 시스템으로 데이터의 저장, 백업, 보고, 다중 액세스 제어 및 보안을 처리한다. 예) - DB 종류 DBMS 제작사 작동 운영체제 특징 MySQL Oracle Unix, Linux, Windows, Mac 오픈 소스(무료), 상용,호환성 좋음, 가벼운 개발용도로도 좋음 MariaDB MariaDB Unix, Linux, Win.. 더보기

티스토리툴바