1. 정보보호개요 (1) 정보보호목표 - 정보보호의 목표는 기밀성, 무결성, 가용성을 보장하는 것 - 기밀성 : 인가된 사람, 시스템, 프로세스만 시스템에 접근가능 - 무결성 : 불법 변조가 없어야 함 - 가용성 : 합법적인 사용자가 지체없이 사용가능 (2) 정보보호관리 - 기업과 조직의 목적을 충족시키면서 위험을 수용가능한 수준(DoA)으로 낮추는 것 - 기술적 보호대책, 물리적 보호대책, 관리적 보호대책이 있다. - 기술적 보호대책 : 정보시스템,통신망,정보를 보호하기 위한 가장 기본적인 대책 - 물리적 보호대책 : 화재,수해,지진 등 자연재해로부터 정보시스템이 위치한 정보처리시설을 보호하기 위한 대책 - 관리적 보호대책 : 법,제도,규정,교육 등을 확립하고 보안계획을 수립하고 운영하는 대책 (3) ..
1. 개요 - 웹 애플리케이션에서 사용자 입력값에 대한 필터링이 제대로 이루어지지 않을 경우, 공격자가 입력 가능한 폼에 악의적인 스크립트를 삽입하여 해당 스크립트가 희생자 측에서 동작하도록 하는 취약점을 말한다. - 공격자는 취약점을 이용하여 사용자의 개인정보 및 쿠키정보 탈취, 악성코드 감염, 웹페이지 변조 등을 수행한다. 2. Stored XSS (1) 개요 - 공격자가 취약한 웹서버에 악성 스크립트를 저장해놓으면, 희생자가 해당 자료 요청시에 악성 스크립트가 응답 페이지로 전달되어 클라이언트측에서 동작하는 방식 (2) 실습 - 공격자는 게시판을 이용하여 악성 스크립트 포함하는 게시물 등록 : iframe 태그를 이용하여 자바 스크립트를 실행, 공격자 서버로 사용자 쿠키 정보를 URL 쿼리스트링의 ..
1. 개요 - Web Application에서 입력받아 데이터베이스로 전달하는 정상적인 SQL 쿼리를 변조, 삽입하여 불법 로그인, DB 데이터 열람, 시스템 명령 실행 등을 수행하는 비정상적인 데이터베이스 접근을 시도하는 공격기법 - 무료 SQL Injection 취약점 스캐너 : Nikto(GNU 기반 오픈소스), SQLmap(블라인드 SQLi를 자동으로 수행, python에서 개발), Absinthe(GUI기반, 블라인드 SQLi 이용, DB의 스키마와 목록을 자동화 과정으로 다운로드) 2. 공격방식에 의한 분류 (1) Form SQL Injection 1) 개요 - HTML Form 기반 인증을 담당하는 애플리케이션 취약점이 있는 경우, 사용자 인증을 위한 쿼리문 조건을 임의로 조작하여 인증을 우..
1. 계정 관리 (1) Administrator 계정 이름 변경 1) 개요 - 관리자 계정은 컴퓨터 전체에 대한 모든 권한을 가진 계정이므로 관리 필요 - 기본 관리자 계정명인 Administrator 그대로 사용할 경우, Brute Force Attack에 취약할 수 있다(윈도우 관리자 계정의 경우, 로그온 실패 횟수에 제한이 없는 특징을 악용). 2) 관리자 계정명 확인 - 제어판 -> 관리도구 -> 컴퓨터 관리 -> 로컬 사용자 및 그룹 -> 사용자 -> 계정 확인 3) 관리자 계정명 변경 - 제어판 -> 관리도구 -> 로컬보안정책 -> 로컬정책 -> 보안옵션 -> 계정:Administrator 계정 이름 바꾸기 (2) Guest 계정 사용 제한 1) 개요 - Guest 계정은 소프트웨어나 하드웨어..
1. 계정 관리 (1) root 이외의 UID가 0 금지 - root(UID=0)와 동일한 UID를 가진 계정 존재시 root 권한으로 시스템 접근 가능하므로 주의 - /etc/passwd 파일 내 UID 확인(cat이나 vi 사용) - UID 변경(OS별 점검파일 위치 및 점검방법) SOLARIS, Linux, HP-UX usermod -u [UID] [계정명] 리눅스의 경우 500 이상, SOLARIS, HP-UX는 100 이상으로 설정 AIX chuser id=[UID] [계정명] 100이상 설정 (2) 패스워드 복잡성 설정 - 부적절한 패스워드 유형 : 사전에 나오는 단어나 이들의 조합, 길이가 너무 짧거나 공백, 키보드 자판의 일련순, 사용자 계정 정보로부터 유추 가능한 단어 - 대소문자/숫자/..
1. 시험 준비 이유 나는 노베이스상태로 기본적인 SQL 사용에 대한 강의를 들은 후, 이대로 아무것도 안하면 금방 잊어먹을거 같아서 SQLD 시험을 보기로 했다. 2. SQLD 소개 SQLD는 객관식 40문제랑 단답형 10문제로 구성된 시험이다. 각 과목마다 40점 미만이면 과락이 되며, 총점 60점 이상이면 합격하는 절대평가 시험이다. 3. 공부 계획 "SQLD 자격검정 실전문제"라는 일명 노란책이라고 불리는 책으로 공부했다. 시험범위까지의 문제가 대략 150문제였다. 그러나 나는 SQL에 대해 매우 기본적인 것만 배운 상태여서 바로 문제를 풀려고 하니 문제가 안풀렸다. 그래서 생각한 나의 계획은 하루에 10문제씩 문제와 답을 보고 공부하는 것이었다. 계획상으로는 15일이면 책 1회독을 마치게 되는거..
