분류 전체보기93 주통기반 취약점 항목 별 공격 시나리오 Injection 공격자가 Injection 취약점을 발견하는 경우 DB 데이터를 탈취할 수 있게 된다. 그렇게 된다면 피해의 규모가 커질 것이다. 정보 누출 공격자는 누출되는 정보를 이용하여 다른 공격에 악용할 수 있다. 악성 콘텐츠 공격자는 웹 페이지에 악성 콘텐츠를 삽입하여 사용자나 관리자가 해당 콘텐츠를 열람 시 악성코드 감염 등 보안상 위험한 공격을 할 수 있다. XSS 공격자가 이용할 수 있는 시나리오는 세션 탈취와 키로거 삽입이 있을 것이다. XSS를 이용하여 관리자의 세션을 탈취하게 된다면 공격자는 관리자 계정을 이용하여 다양한 공격을 할 수 있을 것이다. 공지글에 XSS를 이용하여 악성코드를 삽입할 수 있을 것이고 키로거를 삽입하게 된다면 다른 이용자의 아이디와 비밀번호를 얻을 수 있을 .. 2023. 7. 6. [12주차-1] 비회원 문의 게시판 개발 시험도 끝났으니 마저 개발을 진행할 것이다. 이번에 만들 것은 비회원 문의 게시판이다. 기존의 게시판은 로그인 상태에서 게시글을 읽고, 쓰고, 수정하고, 삭제를 했다. 하지만 비회원 문의 게시판은 비밀번호를 이용하여 게시판을 이용할 수 있게 만들었다. 먼저 비회원 문의 게시판 DB를 만들었다. 비회원 문의 게시판은 로그인 페이지에서 접근이 가능하다. 기존 게시판과 동일하게 읽기, 쓰기, 수정, 삭제, 검색, 페이징 기능을 구현했다. 다만 기존 게시판과는 다르게 게시글 작성 시 비밀번호를 요구하게 만들었다. 전체적인 진행과정이다. 전체 소스는 기존의 게시판을 만들 때 사용한 소스들을 가져왔다. 비밀번호 기능은 로그인 페이지를 만들어봤으면 쉽게 구현할 수 있을 것이다. 2023. 6. 19. 인증/인가 취약점 인증 그 사람이 맞는지 확인하는 작업 인가 허락된 사람에게 어떤 권한을 부여 CASE 1. 인증 우회 인증 과정은 서버에서 수행해야 하지만 클라이언트에서 인증 과정을 수행하면 문제가 생긴다. 2. 주석 확인 소스코드에서의 주석들을 확인해본다. 3. 권한 우회 클라이언트가 권한을 확인하는지, 서버가 권한을 확인하는지 확인해야 한다. 4. 게시글 읽기 및 수정 권한 게시글 읽기에만 권한을 확인하고 게시글 수정에서는 확인을 안 할 수도 있다. 5. 불충분한 인가 6. 마이페이지 확인 마이페이지에서 관리자의 마이페이지로 넘어갈 수 있다. 이외에도 다양한 케이스들이 있다. 대응방안 서버에서 세션을 통한 검증을 수행한다. 2023. 6. 16. 1081 ~ 1200 1081. DHCP는 UDP 프로토콜을 사용하고 서버는 67번 포트, 클라이언트는 68번 포트를 사용한다. 1082. 캐시, Hosts 파일, 로컬 DNS 서버 1083. 리졸버는 특정한 도메인 이름에 대해서 원하는 유형의 리소스 레코드 데이터를 조화하는 기능을 수행하는 역할을 한다. 1084. 도메인을 보여주는 nslookup 실행결과 화면이다. 1085. DNS 증폭공격은 resolving이 허용된 DNS를 매개체로 악용하는 형태의 공격이다. 1086. 상대 서버를 지시하기 위하여 MX 레코드를 사용한다. 1087. 일반 유저 권한으로 운영하는 게 바람직하다. 1088. Recursive Query가 허용된 목표 네임 서버에 공격자가 의도한 도메인의 질의 및 위조된 응답 패킷을 공격자가 직접 전송한다.. 2023. 6. 15. 961 ~ 1080 961. 외부에서 들어오는 172.20.0.1 IP의 ICMP 패킷을 막는다. 962. -d : 목적지 주소 설정 -dport : 목적지 포트 설정 -p : 프로토콜 지정 -s : 출발지 주소 설정 -sport : 출발지 포트 설정 963. 출발지 주소가 192.168.0.5인 패킷을 막아야 한다. INPUT -s 192.168.0.5/32 -j DROP 964. REJECT는 차단과 함께 ICMP 에러 응답을 전송한다. 965. 설정 내용을 저장할 때는 save, 복구할 때는 restore를 사용한다. 966. RADIUS 프로토콜은 책임추적성과 관련이 없다. 967. IPSec VPN은 운영방식에 따라 터널 모드와 트랜스포트 모드를 지원한다. 968. 전송 모드는 개별 사용자의 설정 부담이 크다. 9.. 2023. 6. 14. File Upload BLOB / CLOB 기존의 게시글에서는 간단한 파일 업로드 기능만 만들었다. 따라서 이번엔 BLOB와 CLOB를 구현해보려고 한다. CLOB / BLOB 데이터 유형과 그 크기는 필요에 따라 적절하게 사용하면 된다. https://dev.mysql.com/doc/refman/5.7/en/storage-requirements.html MySQL :: MySQL 5.7 Reference Manual :: 11.7 Data Type Storage Requirements 11.7 Data Type Storage Requirements The storage requirements for table data on disk depend on several factors. Different storage engines represent .. 2023. 6. 14. 841 ~ 960 841. 드라이브 바이 다운로드는 실뢰할 수 없는 사이트에서 사용하는 기법이다. 842. 공급망 공격은 공급망에 침투하여 소프트웨어나 하드웨어를 변조하는 공격방식이다. 843. 보기는 저장소에 대한 설명이다. 844. 정찰, 무기화, 전달, 취약점 악용, 설치, 명령 및 제어, 목표실행 845. spectre는 빠른 수행을 위해 개발된 캐싱 및 추측 실행 기능을 악용하는 공격이다. 846. 파일리스 악성코드는 이메일의 첨부파일, PDF, JPEG 등에 삽입되어 배포된다. 847. CDR은 파일에 숨겨진 악성코드만 골라 막는 콘텐츠 보안 솔루션이다. 848. 사용하지 않는 PDF 소프트웨어를 제거하는 건 하드닝 활동과 거리가 멀다. 849. SMTP는 25번 포트를 사용하고 TCP 프로토콜을 사용한다. 8.. 2023. 6. 13. 721 ~ 840 721. 스크립트형 악성코드는 스크립트를 이해하고 실행할 인터프리터가 존재해야 한다. 722. Set-Cookie를 설정하면 쿠키를 만들 수 있다. 723. 쿠키는 클라이언트에 저장이 된다. 724. 보기는 웹 비콘에 대한 설명이다. 725. 임시 인터넷 파일의 폴더는 변경할 수 있고, 할당할 디스크 공간의 크기를 변경가능하다. 726. 클라이언트 브라우저나 서버가 강력한 cipher와 취약한 cipher를 동시에 지원하는 경우는 거리가 멀다. 727. exFAT는 자료구조의 오버헤드 문제나 파일 크기/디렉터리 제약 문제에 효과적이다. 728. MFT는 모든 파일들과 디렉터리에 대한 정보를 포함하고 있다. 729. $Bios는 NTFS 파일 시스템의 메타 파일이 아니다. 730. NTFS 볼륨의 보안설정.. 2023. 6. 12. 601 ~ 720 601. 위험이란 비정상적인 일이 발생할 수 있는 가능성을 말한다. 602. 트랜잭션 로그는 교정통제에 포함된다. 603. 보기는 거부적 암호화에 대한 설명이다. 604. 자가 동기식 스트림 암호는 변조된 암호문이 후속 암호문 복호화에 사용되지 않아 오류 파급이 제한적이다. 605. 평문을 선택하면 암호문을 얻는 공격은 선택 평문 공격이다. 606. 공격 강도가 큰 순서는 암호문 단독 공격, 기지 평문 공격, 선택 평문 공격이다. 607. 보기는 KCMVP에 대한 설명이다. 608. 암호모듈 안전성 평가는 CMVP에 평가기준 및 방법이 정의되어 있다. 609. 도청 방지는 디지털 워터마킹 기술의 응용 분야와 거리가 멀다. 610. DRM과 가입자 및 서비스 관리 기능은 거리가 멀다. 611. PKI 기반.. 2023. 6. 11. 이전 1 2 3 4 ··· 11 다음
