본문 바로가기

📁 정보처리기사21

[운영체제/OS] 운영체제의 개념과 종류 운영체제(OS : Operating System)의 개념 - 운영체제는 사용자가 컴퓨터의 하드웨어를 쉽게 사용할 수 있도록 인터페이스를 제공해주는 소프트웨어이다. - 운영체제는 한정된 시스템 자원을 효과적으로 사용할 수 있도록 관리 및 운영함으로써, 사용자에게 편리성을 제공한다. - 운영체제는 컴퓨터 시스템과 사용자 간의 인터페이스 기능을 담당한다. 운영체제의 종류 1) 윈도우즈(Windows) 운영체제 2) 유닉스(Unix) 운영체제 윈도즈(Windows) 운영체제 - MS-DOS의 멀티태스킹 기능과 GUI 환경을 제공하는 응용 프로그램으로서, 마이크로소프트사가 개발한 운영체제 - 윈도즈 95를 발표한 이후에 98, ME, XP, 7, 8, 10 등의 버전으로 지속적으로 출시 특징 특징 설명 GUI 제.. 2021. 4. 2.

[시큐어 코딩 가이드] 보안 약점 - 입력데이터 검증 및 표현 입력데이터 검증 및 표현 - 프로그램 입력값에 대한 검증 누락, 부적절한 검증, 데이터의 잘못된 형식 지정 등으로 인해 발생하는 보안 약점 - 대표적으로 SQL 삽입(Injection), 크로스 사이트 스트립트(XSS) 등의 공격이 있다. 주요 공격 보안 약점 대응 방안 SQL 삽입 - 사용자의 입력값 등 외부 입력값이, SQL 쿼리에 삽입되어 공격 - PreparedStatement 객체 등을 이용 - DB에 컴파일된 쿼리문(상수)을 전달 크로스 사이트 스트립트 (XSS) - 검증되지 않은 외부 입력값에 의해, 브라우저에서 악의적인 코드 실행 - 입/출력값에 스크립트가 삽입되지 못하도록, & " ' / ( ) 등에 대해 문자열 치환 함수 사용 경로 조작 및 자원 삽입 - 외부 입력된 값의 사전 .. 2021. 4. 1.

[SW개발 보안] 시큐어 코딩 가이드 SW개발 보안 구현 - 시큐어 코딩 가이드 - 설계 및 구현 단계에서 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거하고, 외부 공격으로부터 안전한 소프트웨어를 개발하는 기법 (잠재적인 보안 취약점 사전 제거, 안전한 소프트웨어 개발 목적) - 소프트웨어 보안 약점을 방지하기 위해, 시큐어 코딩 가이드에 따른 개발 수행 필요! 보안 약점 1) 입력데이터 검증 및 표현 내용 대응방안 - 프로그램 입력값에 대한 검증 누락 - 부적절한 검증 - 잘못된 형식 지정 - 사용자/프로그램 입력데이터에 대한 유효성 검증체계 수립 - 실패 시 처리 설계 및 구현 2) 보안 기능 - 보안 기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등) 의 부적절한 구현 - 인증, 접근통제, 권한 관리, .. 2021. 4. 1.

[SW개발 보안] 암호화 알고리즘 암호 알고리즘(Encryption Algorithm) 개념 - 데이터의 무결성, 기밀성 확보를 위해 정보를 쉽게 해독할 수 없는 형태로 변환하는 기법 암호 알고리즘 방식 대칭 키 암호 방식 - 암호화와 복호화에 같은 암호키를 쓰는 알고리즘 - 대칭키는 블록 암호화와 스트링 암호화 알고리즘으로 나뉨 1) 블록 암호 방식 - 긴 평문을 암호화하기 위해 고정 길이의 블록을 암호화 하는 블록 암호 알고리즘을 반복하는 방법 ex) DES, AES, SEED 2) 스트림 암호 방식 - 매우 긴 주기의 난수열을 발생시켜 평문과 더불어 암호문을 생성하는 방식 ex) RC4 비대칭 키 암호 방식 - 공개키를 이용해 암호화하고, 공개키에 해당하는 개인키를 이용해 복호화하는 암호방식 - 비대칭 키 암호 방식에서는 공개키와 .. 2021. 3. 30.

[SW개발 보안] 공격 기법의 이해 : 취약점 공격 취약점 공격 랜드 어택 (Land Attack) - 출발지(Source) IP와 목적지(Destination) IP를 같은 패킷 주소로 만들어 보냄 - 수신자가 자기 자신에게 응답을 보내게 함 (무한루프!?) - 시스템의 가용성을 침해하는 공격기법 봉크 / 보잉크 (Bonk / Boink) - 프로토콜의 오류 제어를 이용한 공격기법 - 시스템의 패킷 재전송과 재조립이 과부하를 유발 ex) 봉크 : 같은 시퀀스 번호를 계속 보냄 보잉크 : 일정한 간격으로 시퀀스 번호에 빈 공간 생성 티어 드롭 (Tear Drop) - IP 패킷의 재조합 과정에서 잘못된 Fragment Offset 정보로 인해 수신 시스템이 문제를 발생하도록 만드는 DoS 공격 - 공격자는 IP Fragment Offset 값을 서로 중첩.. 2021. 3. 30.

[SW개발 보안] 공격 기법의 이해 : 애플리케이션 공격과 네트워크 서비스 공격 애플리케이션 공격 - HTTP와 관련된 공격이 주를 이룬다! HTTP GET 플러딩 - Cache Control Attack 공격 - Http 캐시 옵션을 조작하여, 캐싱 서버가 아닌 웹서버가 직접 처리하도록 유도함 - 웹서버 자원을 소진시키는 서비스 거부 공격이다. Slowloris (Slow HTTP Header DoS) - HTTP, GET 메소드를 사용하여 헤더의 최종 끝을 알리는 개행문자열인 \r\n\r\n(Hex : 0d 0a 0d 0a)를 전송하지 않고, \r\n(Hex : 0d 0a)만 전송함 - 대상 웹서버와 연결상태를 장시간 지속시키고, 연결 자원을 모두 소진시키는 서비스 거부 공격이다. RUDY (Slow HTTP POST DoS) - 요청 헤더의 Content-length를 비정상적.. 2021. 3. 30.

이전 1 2 3 4 다음

티스토리툴바