728x90 정보처리기사84 서비스 공격 유형과 인증 공격 유형 Parsing 하나의 프로그램을 런타임 환경(예를 들면, 브라우저 내 자바스크립트 엔진)이 실제로 실행할 수 있는 내부 포맷으로 분석하고 변환하는 것 LAN Tapping 처음 들어보는 요어이고, 찾아도 제대로된 정의가 나오지 않으나 Lan + Tapping 으로 해석한다면 LAN 신호를 직접 자신에게 끄렁오는 방식의 공격 정도로 해석 가능함 Switch Jamming 스위칭 허브의 기능이 방해 받아 정상 동작을 하지 못해 스위치가 더미 허브처럼 작동하게 되는 것을 의미 FTP SYN Flooding TCP의 3Way Handshake 취약점을 이용한 DoS 공격으로 다량의 SYN 패킷을 보내 백로그 큐를 가득 채우는 공격 Session Hijacking(TCP 세션 하이제킹) 케빈 미트닉이 .. 2023. 8. 19. 보안 솔루션과 보안 아키텍처 보안 솔루션 IDS(Intrusion Detection System, 침입 탐지 시스템) 침입 공격에 대하여 탐지하는 것을 목표로 하는 보안 솔루션 외부 침입에 대한 정보를 수집하고 분석하여 침입 활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안 시스템 예방적이고 사전에 조처를 하는 기술로서 HIDS와 NIDS로 구분됨 HIDS (Host-based IDS, 호스트 기반 IDS) - 컴퓨터 시스템의 내부를 감시하고 분석하여 침입을 탐지하는 시스템 - 컴퓨터 시스템의 동작이나 상태를 모두 감시하거나 부분적으로 감시함 - CPU, 메모리, 디스크 등 호스트 자원을 일정 부분 점유함 NIDS (Network-based IDS, 네트워크 기반 IDS) - 네트워크상의 모든 패.. 2023. 8. 19. 서버 인증 및 서버 접근 통제 서버 인증 사용자 인증 기법 지식 기반 인증(Knowledge-based Authentication) 사용자가 기억하고 있는 지식을 기초로 접근 제어를 수행하는 사용자 인증 기법 아이디, 패스워드, PIN(Personal Identification Number) 번호 등 소유 기반 인증(Authentication by what the entity has) 사용자가 소유하고 있는 인증 토큰을 기반으로 하는 사용자 인증 기법 지식 기반 인증 기법보다 보안성이 높음 건물 출입 시 사용되는 스마트 카드, 인터넷 뱅킹 시 사용되는 OTP(One Time Password) 단말, 공인인증서 등 생체 기반 인증 사람의 정적인 신체적 특성 또는 동적인 행위적 특성을 이용하는 사용자 인증 기법 지문 인식, 홍채 인식, .. 2023. 8. 19. 서비스 공격 유형 DoS(Denial of Service, 서비스 거부) 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격 방법 정보호의 3대 목표 중 가용성(Availability)을 위협하는 행위로서 공격자가 임의로 자신의 IP 주소를 속여서 다량으로 서버에게 보냄 헤대가 조작된 일련의 IP 패킷 조각들을 전송함 라우터, 웹, 전자 우편, DNS 서버 등 모든 네트워크 장비를 대상으로 이루어질 수 있음 스머프(Smurf) 공격 대상의 IP 주소를 근원지로 대량의 ICMP 응답 패킷을 전송하여, 서비스 거부를 유발시키는 공격 방법 IP 또는 ICMP의 특성을 악용하여 특정 사이트에 집중적으로 데이터를 보내 네트워크 또는 시스템의 상태를 불능으로 만드는 공격 방법 SYN 플러딩(SYN Flood.. 2023. 8. 19. 암호화 알고리즘 암호 알고리즘 암호 알고리즘(Cryptographic Algorithm)의 개념 평문(Plaintext)을 암호문(Ciphertext)으로 바꾸고, 암호문을 다시 평문으로 바꿀 때 사용되는 알고리즘을 의미 평문을 암호문으로 바꾸는 과정을 암호화(Encryption)라고 하고, 암호문을 다시 평문으로 바꾸는 과정을 복호화(Decryption)라고 함 암호화 및 복호화 과정에 암호키(Cryptographic key)가 필요함 공개키(Public Key, 비대칭키) 암호화 기법 암호키와 해독키가 서로 다른 기법으로 키 개수는 2N개가 필요함 비대칭키 암호화 기법 또는 공개키(공증키) 암호화 기법이라고도 함 키 분배가 비밀키 암호화 기법보다 쉽고, 암호화/복호화 속도가 느리며 알고리즘이 복잡함 RSA, ElGa.. 2023. 8. 19. 시큐어 코딩 가이드 2 시간 및 상태 시간 및 상태의 개념 동시 수행을 지원하는 병렬 시스템이나 여러 개의 프로세스가 동작되는 멀티 프로세스 환경에서 시간 및 상태를 부적절하게 사용하여 여러 가지 보안 약점이 발생할 수 있음 보안 약점의 종류 경쟁 조건 : 검사 시점과 사용 시점(TOCTOU) 자원을 검사하는 시점(TOC : Time Of Check)과 사용하는 시점(TOU : Time Of Use)이 달라서 발생하는 보안 약점 여러 프로세스가 공유 자원 접근 시 동기화 구문으로 한 번에 하나의 프로세스만 접근하게 함으로써 방지할 수 있음 종료되지 않는 반복문 또는 재귀함수 종료 조건이 없는 반복문이나 재귀 함수를 사용하여 무한 반복하며 자원 고갈이 발생하는 보안 약점 재귀 호출 횟수를 제한함으로써 방지할 수 있음 에러 처리 .. 2023. 8. 19. 이전 1 2 3 4 ··· 14 다음 728x90
