정보 보안 기타 용어
·
정보 보안
1. FDS(Fraud Detection System)거래 내역, 고객 정보, 평소 거래 패턴 등을 분석해서 의심되는 이상 거래를 탐지하고 차단하는 기술 2. IT, ICT vs OT CPS(Cyber-Physical System), 이란 핵발전소 스턱스넷(stuxnet)IT(Information Technolgy), ICT(Information Communication Technolgy)정보 기술 OT(Operation Technolgy)운영 기술인터넷을 끊어 놓음(망 분리) CPS(Cyber-Physical System)핵 발전소가 대표적물리적 시스템과 결합한 소프트웨어 이란 핵 발전소의 스턱스넷 악성코드로 OP CPS를 공격 3. APT(Advanced Persistent Attack) 공격일정한 ..
웹 보안 - Access Control for Administration
·
정보 보안
Access Control for Administrationadmin에 접속하기 위한 위한 시도Insecure Direct Object Refernece + Brute Foce 공격으로 많이 사용 대응고유한 포트 번호 & 방화벽 접근 제어웹 서버 접근 제어 ※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
웹 보안 - IDOR(Insecure Direct Object Reference)
·
정보 보안
IDOR객체를 안전하기 않게 직접적으로 참조ex) 링크를 눌러서 참조가 아닌 링크의 일부를 바꿔서 참조 대응Session Management를 잘 해야 함 ※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
웹 보안 - SQL Injection
·
정보 보안
SQL Injection데이터베이스 관련 공격ex) 모든 테이블 가져옴ex) 테이블 삭제 대응사용자의 입력 값 믿지 않기특수 문자와 같은 입력이 들어오지 않도록에러 메시지를 보여주지 않기DB 계정의 권한 낮추기root 권한은 1명한테 ※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
웹 보안 - CSRF(Cross-Site Request Forgery)
·
정보 보안
CSRFVictim: 서버사용자의 브라우저에 대한 사이트의 신뢰를 악용공격자는 클라이언트이 session token을 탈취해야 하며 어떤 URL의 포맷으로 가야하는 지 알고 있어야 공격에 성공ex)패스워드를 변경할 때, 현재 패스워드를 입력하지 않도록 하는 사이트는 CSRF 공격에 취약공격자가 서버의 admin 권한의 패스워드를 바꿀 수 있음 ※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
웹 보안 - XSS(Cross-Site Scripting)
·
정보 보안
XSSVictim: 클라이언트특정 사이트에 대한 사용자의 신뢰를 악용code injection 유형 Persistent XSS글이 지워지지 않는 경우에 계속 남아 있음공격자는 보통 '쿠키 값은 어떤 IP로 날려보내라' 라는 명령을 가장 많이 사용 Non-Persistent XSS공격자가 공격 script가 포함된 링크를 만들어서 보내면 클라이언트가 해당 링크를 누르는 순간 검색 엔진에 해당 script가 입력 되도록 함 대응입력 필드에서 바람직하지 않은 문자를 검증하고 거부ex) 특수 문자 ※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
웹 보안 - 세션 관리(Session management)
·
정보 보안
Session management서버 쪽에서 session을 만들어 sesson id를 붙임세션 정보는 세션 id를 사용하여 웹 서버에 저장됨 Sesson tokens Session hijackingHTTP protocol level에서 발생누군가 session을 가로채서 서버는 정당한 클라이언트라고 생각해 처리해줌 대응강한 Session Token 생성SID = [userID, exp.time, data] 다양한 정보를 가지고 만듦Session Token = HMAC(k, SID)k: 웹 서버만 아는 key ※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
웹 보안 - Cookie
·
정보 보안
쿠키(Cookie)- 사용자의 웹 브라우저에 저장된 텍스트 조각- 웹 서버에서 생성하여 브라우저로 전송되는 임의의 데이터브라우저의 ‘cookie jar’에 저장name, domain, path에 의해 식별 문제점Cookie는 Stateless인 HTTP 프로토콜에서 State를 유지하기 위해 만들어졌으므로 보안을 고려하지 않음공격자 및 클라이언트는 쿠키를 읽고 조작할 수 있음 ➡️ 중요한 정보는 쿠키에 저장되면 안 됨서버는 ‘쿠키 이름=값’을 제외한 정보는 볼 수 없음 대응설정/쓰기 차단쿠키 지우기모든 페이지에 SSL 설정서버에서 자기만 알고 있는 비밀 key 값 설정 ➡️ value와 tag를 붙여 쿠키 값으로 사용 ➡️ key-value를 concat해서 해시 함수를 통해 tag를 생성 (무결성 체크..