![]()
1.DOS (Denial of Service)DOS 공격은 단일 소스에서 하나 이상의 장치 또는 서버에 대해 공격을 수행하여 서비스 거부 상태를 유도하는 공격TCP SYN Flooding 공격이 대표적인 DOS 공격(여러 TCP 연결 요청을 보내고, 응답 없이 끊어버림) 2.DDOS (Distributed Denial of Service)DDOS 공격은 여러 다른 위치의 여러 컴퓨터 또는 장치에서 동시에 공격을 실행하여 한 대상에 대한 공격을 집중시키는 공격여러 다른 소스에서 동시에 공격을 수행합니다. 각 소스는 다른 IP 주소를 가지며 대규모의 트래픽이 목표 서버에 동시에 집중되어 서비스를 마비시킴 3.대책DOS 공격에 대처하기 위해서는 네트워크 및 서버의 설정 조정 및 방화벽 등을 통한 ..
![]()
1.암호(Cipher)정보를 보호하기 위해 데이터를 변형하는 방법암호화는 원본 데이터를 이해할 수 없도록 변환하고, 암호화된 데이터를 복호화 과정을 통해 원래의 형태로 되돌릴 수 있다. 2. 대칭키 암호화(Symmetric Key Encryption)암호화와 복호화에 동일한 키를 사용하는 방식암호화와 복호화 속도가 빠름알고리즘이 상대적으로 단순함대규모 네트워크에서는 키 관리가 복잡해짐 3. 비대칭키 암호화(Asymmetric Key Encryption)암호화와 복호화에 서로 다른 키를 사용하는 방식공개키(public key)와 비밀키(private key)가 한 쌍으로 구성공개키를 안전하게 공유할 수 있음인증 및 디지털 서명에 유용함 4. 해시 함수(Hash Functions)임의의..
![]()
1.인증(Authentication)인증은 사용자가 자신이 주장하는 사람임을 시스템에 증명하는 과정사용자나 시스템의 신원을 확인하는 절차 1-1.예시웹사이트 로그인스마트폰 생체인식은행 OTP 2.인가(Authorization)인증된 사용자가 시스템에서 특정 자원이나 기능에 접근할 수 있는 권한을 부여하는 과정누가 어떤 자원에 접근할 수 있는지를 결정하는 절차 2-1.예시파일 접근 권한애플리케이션 기능 사용 권한클라우드 서비스 접근 권한
![]()
1.기밀성(Confidentiality)민감한 정보가 허가되지 않은 사람이나 시스템에 의해 접근되지 않도록 보호하는 것을 의미 2.무결성(Integrity)정보가 허가되지 않은 변경, 손상, 삭제 등으로부터 보호되어 정확하고 일관된 상태를 유지하는 것을 의미 3.가용성(Availability)허가된 사용자가 필요한 정보나 자원을 언제든지 접근하고 사용할 수 있도록 보장하는 것을 의미 4.진정성(Authenticity)주체(사용자, 시스템, 데이터 등)가 주장하는 대로 실제로 그 주체임을 확인하는 것을 의미정보나 메시지가 출처가 명확하고 신뢰할 수 있는지 확인하는 과정(변조가 안되었는지 확인) 5.책임성(Accountability)시스템이나 데이터에 접근하거나 이를 변경한 주체를 추적하고, ..
![]()
1.클릭재킹(Clickjacking)사용자가 의도하지 않은 클릭 동작을 하도록 유도하는 공격 기법 2.클릭재킹 유형2-1.UI Redressing숨겨진 레이어 위에 버튼이나 링크를 덮어놓고, 사용자가 그 버튼이나 링크를 클릭하게 되면 실제로는 숨겨진 레이어의 악성 코드가 실행되게한다. 2-2.Frame Overlay악성 웹 페이지가 특정 기능을 제공하는 웹 페이지를 iframe 등을 사용하여 덮어쓰고, 사용자의 클릭을 이용하여 악성 동작을 수행하도록 유도한다. 2-3.Click Hijacking사용자가 클릭하려는 버튼이나 링크가 실제로는 다른 악성 요소 위에 있어, 사용자의 클릭 동작이 의도치 않게 해킹자가 원하는 동작을 수행하도록 만드는 공격 2-4.Cursorjackingdiv 요소..
![]()
CSRF(Cross Site Request Forgery)사이트 간 요청 위조인증된 세션을 이용하여 공격자가 사용자의 의지와 상관없이 비정상적인 요청을 보내도록 하는 웹 보안 취약점공격자가 희생자의 권한을 도용하여 특정 웹 사이트의 기능을 실행하게한다. img 태그를 이용한 가짜 요청 만들어서 CSRF 공격을 하는 모습 🎈참고자료https://stir.tistory.com/265https://hobbylists.tistory.com/entry/CSRF-%EC%B7%A8%EC%95%BD%EC%A0%90%EC%97%90-%EB%8C%80%ED%95%9C-%EA%B0%84%EB%8B%A8%ED%95%9C-%EC%84%A4%EB%AA%85%EA%B3%BC-%EA%B7%B8..
![]()
SQL 인젝션(SQL Injection)사용자 입력을 통해 들어오는 데이터를 악의적으로 이용하여 SQL 쿼리를 조작하거나 실행시키는 것 1.Error based SQL Injection공격자가 데이터베이스로부터 에러 메시지를 이용하여 정보를 추출하는 SQL 인젝션 기법 해당 사이트는 로그인을 실패시 Login failed 라는 에러 메세지를 출력한다. 하지만 아무문자열 뒤에 ' 를 입력하게 되면 다른 에러메세지를 볼수있다. sql 문을 입력하기 위해 크롬 개발자 도구를 통해 패스워드 최대 글자수를 조작한다. 해당 비밀번호는 다음과 같은 sql 문을 이용해 비밀번호를 식별하고있다.여기에 비밀번호란에 다음과같은 sql문을 넣는다. "SELECT * FROM employee WHERE ..
![]()
XSS(Cross-Site Scripting)공격자가 악의적인 스크립트를 웹 페이지에 삽입하여 다른 사용자에게 실행되도록 하는 공격 기법 1.저장된 XSS(Stored Cross Site Scripting)악성 스크립트를 데이터베이스나 서버에 저장된 후, 다른 사용자가 해당 데이터를 조회할 때 스크립트가 실행 내부에 악성 스크립트를 작성한 내용의 글을 작성한다. 글을 열면 악성 스크립트가 작동한다. 2.반사된 XSS(Reflected XSS)공격자가 입력한 스크립트가 즉시 실행되는 공격이다. 이 사이트는 digit코드에 잘못된 글을 적으면 이런 오류가 뜨는것을 이용하여 XSS 공격을 할수있다. 3.DOM기반 XSS(DOM based XSS)JavaScript 코드가..
