본문 바로가기
20191218 보안 SW 개발 세미나 7일차 * NAT (Network Address Translation) 1) Static NAT(고정 NAT) - 공인IP와 사설IP를 1:1로 매핑 - 주소 절약효과는 없음 2) Dynamic NAT - 공인IP:사설IP=M:N - 인터넷 연결이 필요한 호스트에게만 공인IP를 임대 3) Port NAT (NAT Overload) - 공인IP1개에 여러개의 Port를 활용해서 사설IP여러개 연결 - 하나의 공인 IP로 여러대의 PC가 접속이 가능하므로, 공인 IP 주소를 절약 할 수 있다. * 보안기사 단골문제 iptables ACCEPT : 패킷을 허가하는 것으로 본래 라우팅대로 진행 DROP : 패킷을 거부하는 것으로 더 이상 어떤 처리도 수행하지 않음 LOG: 패킷을 syslog에 전달하여 기록. 일반적으.. 2019. 12. 18.
20191213 보안 SW 개발 세미나 4일차 HTTP DDOS 공격의 종류 "어떻게 하면 서버를 괴롭게 할 수 있을까?" *개행문자 : 0x0d0a - \r (Carriage Return) : 0x0d - \n (Line Feed) : 0x0a 프로그램 및 기능 > Windows 기능 켜기/끄기 telnet 설치하기 *http 헤더의 각 항목 뒤에는 0x0d0a가 들어감 (줄 바꿈) http 요청이 끝나는 부분에 0x0d0a가 한번 더 들어감 (0x0d0a0x0d0a) //실습 cmd 켜서 telnet ${IP} 80 로 접속하기 telnet ${IP} 80 OPTIONS / http/1.1 host: ${IP} 한번 치면 서버가 기다린다. (아직 HTTP Request가 끝나지 않았다고 인식.) 엔터 두번 입력하면 http request가 종료되.. 2019. 12. 13.
20191211 보안 SW 개발 세미나 3일차 공공 정보화사업 대상으로 지침에 의무화 되어있는 소프트웨어 보안약점 기준 유형1. 입력데이터 검증 및 표현: 사용자, 프로그램 입력 데이터에 대한 유효성 검증 체계를 갖추고, 실패 시 처리할 수 있도록 설계 하도록 한다. *SQL Injection SQL문이 참이 되도록 만들어서 주입하는 공격 UPDATE: 관리자계정의 패스워드를 변경하는등 악용이 가능하다. SELECT: 개인정보를 추출해서 따로 저장, 유출이 가능하다 DROP: 고객 테이블을 삭제 할 수 있다. + 실제로 LOGIN inputBox에 update 쿼리를 날려서 회원정보 테이블을 날려버린 경우도 있다고함.. SQL Injection *OS Command Execution 검색창등에 리눅스/윈도우 명령을 실행 시키는 취약점 사물인터넷(IO.. 2019. 12. 11.
20191210 보안 SW 개발 세미나 2일차 레노버 슈퍼피쉬: 일종의 애드웨어 레노버 노트북에 기본적으로 탑재되어있는 프로그램이여서 논란이 됐었음. hp노트북에는 오디오 드라이버나 터치패드에 정보 수집용 키로거가 발견되었음. mantistek 게이밍 키보드에도 키로거가 내장되어있었다. 중국 알리바바 그룹 서버에 몰래 송신 하고 있었다고 함. *국방수권법: 인증되지 않은 회사의 제품을 사용하지 않도록 규정. 중간자공격(MITM) : 통신 중간에 자리잡고 통신하는 당사자들은 모르게 주고받는 data를 monitoring, capturing, controlling 하는 공격이다. 통신 내용을 도청할 수 있을 뿐만 아니라, data를 변조할 수도 있다. *Credential Stuffing: 취약한 사이트에서 계정과 비밀번호를 알아낸 뒤, 다른 사이트에 .. 2019. 12. 10.
20191209 보안 SW 개발 세미나 1일차 2019년 12월 9일부터 시작된 보안 SW개발 세미나를 듣고 작성한 포스팅입니다. 1. Access Point - Access Point를 Hotspot이라고 부른다. AccessPoint는 Router 기능과 공유기 기능을 함께 가지고 있다. AccessPoint는 Wire 방식으로 다른 Router 장비와 연결되어 진다. 즉, Wi-Fi 무선 통신 구간은 Device와 Access Point 사이 구간이다. 참고로, Wi-Fi를 지원하는 IEEE 802.11 표준은, OSI 7 Layer 관점으로 보면, Layer 1 즉 Physical Layer에 속하는 프로토콜이다. - Wi-Fi 무선 통신 구간은 WLAN(Wireless LAN) I/F를 가지기만 하면, 아무나 접속 할 수 있으므로, 보안을 .. 2019. 12. 9.
2019-09-26 오늘 만난 코드들 1. 예외처리 1. 오늘 만난 코드 if(ret == null || ret == undefined || ret == "" || ret == "[]" || ret == "undefined"){ /*공백*/ }else{ /*로직 시작...*/ } 2. 기존 내가 썼었던 코드 // if문에 핵심로직이 들어가도록 조건을 설정했었다. // (A == B) || (C == D) 를 논리식으로 뒤집으면..(논리회로 생각) // A != B && C != D 가 된다 따라서.. if(ret != null && ret != undefined && ret != "" && ret != "[]" && ret != "undefined"){ /*로직 시작..*/ } if절 안에 핵심로직을 넣기 위해서 not처리를 하도록 했다. .. 2019. 9. 26.

티스토리툴바