전체 글71 애플리케이션 보안 [세 번째 정리] 안녕하세요 ! 이번 시간은 애플리케이션 보안 세 번째 시간에 대해 정리하도록 하겠습니다. OWASP TOP 10 기준 - 톰캣 취약점 : 접근제어 미흡, 기본 계정이 존재한다. - webdav 취약점 : 보안 설정 미흡하다. 1. 인증 처리 미흡 - 관리자 권한 획득 할 수 있는 것. 관리자 페이지가 있어요 ! - > 10페이지 ? -> 권한 부여 ?! 관리자에서 사용하는 특정 파라미터 값 조작 / 쿠키 값 조작 ?! - 회원가입 단계에서 주민번호, 중요정보 우회 ?! - 다른 사용자의 게시물, 정보 조회/ 수정 ?! 멀티팩터 - 멀티채널인증 ! 2. 중요 정보 포함 여부 ! - 클라이언트 스크립트에서 중요 정보 ( HTML, JAVASCRIPT ) value - "" 파라미터 값 ! ~ 개발 서버 ->.. 2024. 3. 19. 애플리케이션 보안 [첫 번째 정리] 안녕하세요 ! 애플리케이션 보안에 대해서 글을 써보려고 합니다. 첫 번째 정리여서 간단하게 정리하도록 하겠습니다. 애플리케이션 보안 애플리케이션 보안은 소프트웨어 개발 및 운영 과정에서 발생할 수 있는 다양한 보안 위협으로부터 애플리케이션을 보호하는 것을 의미합니다. 이것은 소프트웨어가 공격으로부터 안전하고 사용자의 개인 정보 및 시스템 자산을 보호할 수 있도록 하는 것을 목표로 합니다. 1. 인증 및 인가 사용자의 신원을 확인하고, 해당 사용자가 액세스 할 수 있는 리소스에 대한 권한을 부여하는 것입니다. 취약점 : 약한 인증, 부적절한 인가, 세션 관리의 부적절한 처리 등 2. 데이터 보호 민감한 데이터를 안전하게 저장, 전송 및 처리하는 것을 의미합니다. 취약점 : 데이터베이스 인젝션, 크로스 사이.. 2024. 3. 18. 시스템 / 네트워크 보안 [일곱 번째 시간 정리] 저번 시간에 정리했던 내용들을 다시 간단하게 정리하겠습니다. * 공개키 방식 - 개인 키 : 소유자 혼자서만 보관하는 키 - 공개 키 : 거래 상대에게 제공하는 키 1. Diffie-Hellman - 최초의 공개키 방식을 제안 : 이산대수의 어려움에 근거한 방식 ( 1976 년 ) - 개인 키를 이용해서 공개키를 생성한 후, 암호화 통신을 원하는 상대방에게 제공한다. ( 공개키 교환 ) - 상대방의 공개키와 자신의 개인키를 연산해서 '세션키(대칭키)'를 생성하게 된다. : 대칭 키 교환 문제가 해결된다. - 전송하려는 데이터는 '세션 키'로 암호화 및 복호화 가능해진다. - 단점 : MITM 공격에 취약한다. --> 많이 사용하지 않는다. EX) 텔레그램 2. RSA - 소인수분해의 어려움에 근거한 방식.. 2024. 3. 15. 시스템 / 네트워크 보안 [여섯 번째] 다섯 번째 시간에 정리 했던 내용을 다시 정리 간단하게 한번 하겠습니다. * 암호화 중요성 - 도청 (음성 전화 도청), Sniffing(데이터 도청)으로부터 안전하게 데이터를 전송하기 위한 방법이 암호화 했다. - ID/PW, Image, 명령어, 검색어 등을 와이어샤크와 같은 분석 도구로 분석이 가능합니다. * 암호화 방식 - 대칭키 : 암호화 키와 복호화 키가 서로 대칭을 이룹니다. ex) 쉬프트 + 4 와 쉬프트 - 4 는 서로 대칭입니다. - 비대칭키 : 공개키 암호화 * 대칭키의 종류 1. DES : 최초의 표준 대칭키 (1977 ~ 2000) 2. AES : 현재 표준 대칭키 ( 2001 ~ 현재 ) 3. SEED : 국내에서 개발한 대칭키, 은행 공동망 4. ARIA, LEA, HIGHT .. 2024. 3. 13. 이전 1 ··· 10 11 12 13 14 15 16 ··· 18 다음
