본문 바로가기

매일코딩/보안&정보처리기사4

sql 인젝션 2 sql 인젝션 1.입력데이터 검증 기법2.sql 인젝션3.명령어 인젝션 취약점원인 입력데이터 검증 방식 입력데이터 처리를 위한 규칙 설계자나 개발자는 외부에서 입력되는 값을 철저히 통제해야됨 입력값 검증은 애플리케이션에서 먼저 체크되어야 함 서버 애플리케이션에도 체크되어야 함 view 컴포넌트, controller 컴포넌트에 동시에 체크 해야 함 #sql 인젝션 취약점 개요 웹 애플리케이션에서 값을 입력받을 때 동적 쿼리 생성, 데이터 베이스에 쿼리를 전달하여 실행하는 경우 발생 검증되지 않은 외부 입력값으로 인해 정상적인 쿼리가 변조되어 데이터 베이스에 불법적으로데이터 열람, 수정, 삭제 됨 저장된 프로시저를 사용하여 시스템 명령 수행 비정상적으로 데이터베이스에 접근하거나 제어하는 공격 기법 모든 종류.. 2018. 7. 17.
보안이슈 및 개발보안의 필요성1 보안이슈 및 개발보안의 필요성1 취약한 애플리케이션 원인 70% - 80% 분석 => 설계 => 개발 => 테스트 => 배포 => 운영 sql 인젝션 취약점 xss 취약점(크로스 사이트 스크립팅) - 이메일 본문에 스크립트 명령어를 삽입하여본문을 열람하기만 하여도 악성 코드에 감염 될 수 있다. 시큐어 코딩 적용하면 94% 정도 해킹 감소 웹 애플리케이션 보안의 필요성 침해사고 사례를 통해 시큐어 코딩의 필요성 설명 소프트웨어 보안 약점과 취약점 정보 활용가능 행정자치부의 소프트웨어 개발보안 가이드를 활용가능 소프트웨어 개발보안 방법론을 설명 할 수 있음 보안 솔류션 종류 한계 방화벽이나 ids /ips 같은 보안 장비를 구축해서 원격으로 시스템의 취약한 서비스를 이용한 공격은 사실상 어려움 해커들은 웹.. 2018. 7. 17.
[정보처리기사 정리]2.데이터 모델 및 데이터베이스 설계 1.데이터모델링의 기본: 현실세계에 존재하는 개체를 찾아내 그 개체에 대한 특성과 특징을 파악하여 특성화를 시키는 것. 데이터모델링과정*개체정의 – 식별자 정의 – 상세화 – 통합- 검증 정보모델링과 데이터모델링*정보모델링: 현실세계의 개체요소를 추상화 시킴, 사람이 이해 할 수 있는 형태의 정보구조*데이터모델링: 컴퓨터가 이해할 수 있는 형태의 논리적구조 모델링단계*현실단계(개체,특성, 값) - 개념적 단계(개체 타입, 속성, 값)- 논리적 단계(레코드타입,필드,값) 2. 데이터 모델 데이터모델 개념*개념적 데이터 모델: 속성들로 기술된 개체타입과 이 개체타입들 간의 관계를 이용해서 표현예) E-R 모델, 이진 모델, 함수적 데이터 모델*논리적 데이터 모델: 필드로 기술된 데이터 타입들 간의 관계를 이.. 2017. 1. 5.
[정보처리기사 정리]- 1. 데이터베이스 1.정보 시스템 정보 시스템의 정의: 필요한 자료를 수집, 분배하여 저장했다가 필요할 때 저장된 자료를 처리하여 정보를 제공하는 시스템 자료와 정보의 개념자료: 처리되지 않은 데이터, 측정 통해 얻은 단순 값정보: 자료를 처리해서 얻은 값 자료 처리 시스템일괄처리 : 발생 하는 자료를 수집해서 분류해 놓았다가 유사한 트랜잭션들을 한데 모아 일정한 시점에 일괄적으로 처리시스템 중심처리 , 순차접근방법이용, 트랜잭션당 처리 비용 저렴, 시스템 성능 높다.예) 전화요금, 급여계산, 세무처리 온라인 실시간 처리 시스템: 데이터가 발생하면 데이터를 즉시 컴퓨터에 전달하여 처리하는 방식사용자 중심처리, 오류수정 쉽다, 구조 복잡, 작업량이 많은 경우 시스템 사용 효율성 저하, 유지보수나 회복이 복잡하다. 예) 좌석.. 2017. 1. 3.