security

1.TLS 1.2 와 TLS 1.3 의 차이

post-thumbnail

a10networks.comHandshake 과정이 줄어듬Handshake에서 TLS 1.2버전과 1.3버전의 차이를 간단하게 짚어보자면, 아래의 그림과 같이 Handshake 과정에서 필요한 서로간의 통신 횟수가 TLS 1.3버전에서 줄어들면서 키 교환에 따른 필요

2022년 6월 2일

2.웹사이트에서 사용된 기술을 식별하는 크롬 확장팩

post-thumbnail

웹사이트에서 사용된 기술을 식별하는 크롬 확장팩wappalyzer크롬 웹 스토어 접속\-> https://chrome.google.com/webstore/category/extensions?hl=kowappalyzer 검색 후 설치확장 프로그램 관리에서 wap

2022년 6월 3일

3.온라인 일방향 침해사고 대응 훈련(중급, 스피어 피싱 대응 - 기본과정)

post-thumbnail

​HWP 파일을 이용하여 악성 행위를 하는데 사용되는 기술 및 기법포스트 스크립트익스플로잇자바스크립트​CFBF(Compund File Binary Format)파일내에 작은 파일 시스템이 존재, 파일 = 스트림, 폴더 = 스토리지FAT File Allocation Ta

2022년 6월 5일

4.[설계단계] 1-6. 웹 기반 중요 기능 수행 요청 유효성 검증

post-thumbnail

시스템으로 전송되는 모든 요청에 대해 정상적인 사용자의 유효한 요청인지, 아닌지 여부를 판별할 수 있도록 해야 한다.세션별로 CSRF 토큰을 생성하여 세션에 저장사용자가 작업(입력) 페이지를 요청하면 토큰을 함께 전달해당 클라이언트에서 데이터 처리를 요청하면 함께 전달

2022년 6월 21일

5.[구현단계] 2-11 부적절한 인증서 유효성 검증

post-thumbnail

인증서를 확인하지 않거나 인증서 확인 절차를 적절하게 수행하지 않아, 악의적인 호스트에 연결되거나 신뢰할 수 없는 호스트에서 생성된 데이터를 수신하게 되는 보안약점인증서를 확인하여(①), 검증결과 값이 X509_V_OK 이외의 값을 허용하는지 확인한다(②). 신뢰되지

2022년 6월 22일

6.[구현단계] 1-12 서버사이드 요청 위조

post-thumbnail

가. 개요 적절한 검증절차를 거치지 않은 사용자 입력 값을 서버간의 요청에 사용하여 악의적인 행위가 발생할 수 있는 보안약점 나. 진단방법 다른 시스템의 서비스를 호출하는 함수가 존재하는지 확인하고(①) 다른 시스템을 호출할 때 사용되는 입력 값이(②) 신뢰할 수

2022년 6월 23일

7.[구현단계] 2-5 암호화되지 않은 중요정보

post-thumbnail

많은 응용프로그램은 메모리나 디스크에서 중요한 정보(개인정보, 인증정보, 금융정보 등)를 처리한다. 이러한 중요정보가 제대로 보호되지 않을 경우, 보안이나 데이터의 무결성을 잃을 수 있다. 특히 사용자 또는 시스템의 중요정보가 포함된 데이터를 평문으로 송·수신 또는 저

2022년 6월 24일

8.구현설계관계표

post-thumbnail

시험을 위한 정리이제 외우기만하면 된다.

2022년 6월 25일

9.경쟁조건 : 검사시점과 사용시점(TOCTOU)

post-thumbnail

병렬시스템 멀티프로세스로 구현한 응용프로그램 에서는 자원 파일 소켓 등 을 사용하기에 앞서 자원의 상태를 검사한다. 하지만, 자원을 사용하는 시점과 검사하는 시점이 다르기 때문에 검사하는 시점(Time Of Check)에 존재하던 자원이 사용하던 시점(Time Of U

2022년 6월 26일

10.반복된 인증시도 제한 기능 부재

post-thumbnail

일정 시간 내에 여러 번의 인증을 시도하여도 계정 잠금 또는 추가 인증 방법 등의 충분한 조치가 수행되지 않는 경우, 공격자는 성공할법한 와 비밀번호들을 사전 으로 만들고 무차별 대입 하여 로그인 성공 및 권한 획득이 ID (Dictionary) (brute-force

2022년 6월 27일

11.[설계단계] 4. 세션통제

post-thumbnail

세션 간 데이터가 공유되지 않도록 설계해야 한다.① 모든 페이지에서 로그아웃을 요청할 수 있도록 로그아웃 버튼을 지정된 위치에 노출되도록 한다.② 사용자가 로그아웃을 요청하면 session.invalidate() 메소드를 사용하여 세션에 저장된 정보를 완전히 제거한다.

2022년 7월 10일

12.Unix 서버 - 계정 관리-root 계정 원격 접속 제한

post-thumbnail

시스템 정책에 root 계정의 원격터미널 접속차단 설정이 적용되어 있는지 점검Telnet 서비스 사용시Step 1) vi 편집기를 이용하여 “/etc/default/login” 파일 열기Step 2) 아래와 같이 주석 제거 또는, 신규 삽입 (수정 전) (수정 후)

2022년 7월 26일

13.Unix 서버 - 계정 관리-패스워드 복잡성 설정

post-thumbnail

시스템 정책에 사용자 계정(root 및 일반계정 모두 해당) 패스워드 복잡성 관련 설정이 되어 있는지 점검OS별 점검 파일을 열어 패스워드 복잡도 관련 설정 확인 후 아래의 보안설정방법에 따라 설정을 변경함(최소길이, 특수문자, 숫자 포함 등 설정)주요정보통신기반시설기

2022년 8월 9일

14.침해사고 예방 및 대응을 위한 참고사항

post-thumbnail

o 민간부문 침해사고 대응 안내서 : https://www.krcert.or.kr/data/guideView.do?bulletinwritingsequence=24827 o 홈페이지 보안강화 서비스 : https://www.krcert.or.kr/webprotect/

2022년 9월 28일

15.BS7799와 ISO 27000 간의 관계

post-thumbnail

BS7799와 ISO 27000 간의 관계를 이해하려면 시간 순서에 따른 그들의 역사와 발전을 살펴봐야 합니다:BS7799-1: 1995년 영국 표준 협회(BSI)에서 BS7799-1을 발표하면서 시작되었습니다. 이것은 정보 보안 관리를 위한 첫 번째 종합 표준으로 영

2023년 8월 19일