![]()
1.JSONPlaceholderJSONPlaceholder는 주로 테스트와 프로토타이핑을 위해 제공되는 무료 온라인 REST API 서비스입니다. 서버나 데이터베이스를 설정할 필요 없이 CRUD 작업(생성, 읽기, 수정, 삭제)을 테스트할 수 있는 가상의 데이터를 제공합니다. /posts/comments/albums/photos/todos/users 2.사용예시해당링크는 JSONPlaceholder의 /posts 엔드포인트입니다.https://jsonplaceholder.typicode.com/posts 다음은 posts의 id가 1인 요소를 GET하는 AJAX 코드입니다.function loadData() { // XMLHttpRequest 객체 생성 var xhr = new XMLHtt..
![]()
1.API 키 (API Key) API 개발자가 API에 대한 액세스를 제어하는 데 사용하는 영숫자 문자열API 키는 API 제공자가 특정 사용자나 애플리케이션을 식별하고, 그들이 요청하는 데이터나 서비스를 사용할 수 있는지 확인하는 데 사용됩니다. 2.API 키 목적2-1.인증사용자가 API에 접근할 권한이 있는지 확인할수있다. 2-2.사용량 추적어느 애플리케이션이 얼마나 많은 API 호출을 하는지 모니터링할 수 있다. 2-3.권한 부여특정 키에 따라 사용할 수 있는 기능이나 데이터에 대해 권한을 부여할 수 있다. 2-4.보안외부에서 API를 호출할 때, 해당 호출이 허가된 애플리케이션에서 온 것임을 확인하는 역할을 한다.(강력한 인증 메커니즘과 함께 사용된다. =>OAuth, HMA..
![]()
1.물리적보안물리적으로 접근 못하게 하기CCTV,경비 등등 2.시스템 보안2-1.BIOS 보안BIOS에 비밀번호를 설정 2-2.패스워드 보안root 사용자는 제한된 사용자에게만 부여해야함강력한 패스워드 사용/etc/password 에 UID 가 0인 사용자검사 3.관리자 계정 보안sudo를 통한 일시적 관리자 권한/etc/passwd에서 root사용자 셸 설정을 /sbin/nologin으로 변경(root 사용자로그인 제한) 4.서비스 운영 보안필수서비스만 사용시스템정보 숨김부트로더 패스워드 설정보안서비스 사용(ssh) 5.파일 시스템 보안소유권과 허가권 필요한만큼만 설정lsattr [option] file (파일의 속성 출력)chattr [option] file (파일의 속성을 변경)getfacl..
![]()
1.리눅스 로그리눅스 시스템은 부팅을 하고 시스템이 동작하는 동안 로그정보가 시간순으로 파일에 저장된다./var/log 디렉터리에 로그파일 확인가능레드햇 계열 /var/log/messages데비안 계열 /var/log/syslogless 명령어로 로그 파일을 확인가능(루트 권한 필요) 2.주요 시스템 로그 파일/var/log/messages : 전체 시스템/var/log/secure : 로그인행위/var/log/boot.log: 부팅 정보/var/log/mail.log : 메일 서버/var/log/kern : 커널 로그/var/log/dmesg : 디바이스 드라이버/var/log/faillog : 로그인 실패/var/log/cron : cron 데몬 로그/var/log/yum.log : yum 명령어/..
![]()
1.프록시 (Proxy)프록시 서버는 클라이언트와 서버 간의 중계 역할을 수행하여 클라이언트의 요청을 대신하여 서버에 접근주로 웹 브라우징의 경우 웹 사이트 접근을 중계하거나 필터링하여 접근 제어를 할 수 있습니다. 캐싱을 통해 반복적인 요청을 최적화하거나, 사용자의 IP 주소를 숨기는 등의 목적으로 사용 2.VPN (Virtual Private Network)VPN은 인터넷 연결을 암호화하여 클라이언트와 VPN 서버 사이의 안전한 터널을 형성합니다. 이를 통해 인터넷 상에서 데이터를 안전하게 전송하고, 사용자의 실제 IP 주소를 숨길수있다.주로 인터넷 연결 전체를 보호하고 싶을 때 사용기업에서는 원격 접속이나 분산된 사무소 간의 안전한 통신을 위해, 개인 사용자는 온라인에서의 개인 정보 보호를 ..
![]()
1.방화벽(firewall)미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템서로 다른 네트워크를 지나는 데이터를 허용하거나 거부하거나 검열, 수정하는 하드웨어나 소프트웨어 장치 2.방화벽 기능2-1.접근 제어 (Access Control)방화벽은 네트워크에서 들어오거나 나가는 트래픽을 모니터링하고, 정책에 따라 트래픽을 허용하거나 차단한다. 2-2.패킷 필터링 (Packet Filtering)패킷 단위로 데이터를 검사하여, 출발지 IP 주소, 목적지 IP 주소, 포트 번호 등을 기준으로 패킷을 허용하거나 차단 2-3.상태 기반 검사 (Stateful Inspection)방화벽은 패킷이나 연결의 상태를 추적하여, 허용된 트래픽이 정상적인 ..
![]()
1.OS Command Injection공격자가 악의적인 명령어를 삽입하여 시스템 명령어를 실행시키는 기법서버 운영체제에 접근하는 공격기법이다. 2.작동법웹 애플리케이션의 입력 폼 또는 매개 변수에 공격자가 악성 명령어를 삽입공격자가 삽입한 악성 명령어는 웹 서버가 실행 중인 운영 체제에서 실행공격자는 원격으로 시스템 명령어를 실행하거나, 파일 시스템을 탐색하거나, 시스템 설정을 변경 3.예시다음은 사용자가 입력한 검색어를 그대로 grep 명령어에 전달하여 실행하는 코드다.$result";?> 이 경우, grep 명령어는 ; 이후의 명령어(ls -la)도 함께 실행하게 되어 시스템 명령어 실행이 가능해진다.grep ; ls -la /var/log/apache2/access.log 4...
![]()
1.버퍼 오버플로우 공격(Buffer Overflow Attack)메모리 버퍼에 입력 데이터를 저장할 때 버퍼의 용량을 초과하여 데이터를 입력하면 발생공격자는 프로그램에 입력할 데이터를 의도적으로 버퍼의 용량을 초과하여 입력하여 악성 코드를 삽입하여 버퍼 오버플로우를 이용해 프로그램의 실행 흐름을 제어하고, 시스템에 악성 코드를 실행하도록 설계한다. 2.예시프로그램에서 vulnerable_function 함수는 사용자로부터 입력받은 데이터를 buffer 배열에 복사하는데, 만약 사용자 입력 데이터의 길이가 10 바이트를 초과하면 버퍼 오버플로우가 발생시킬수있다.#include #include void vulnerable_function(char *input) { char buffer[10]; ..
