본문 바로가기

Security/보안 일반 || 관리9

개인정보처리 틀린 부분이 있다면 언제든지 댓글 남겨주세요! 개인정보 처리 단계 [ 수집이용 ] - 필요 최소한의 개인정보 수집 - 민감정보, 고유식별정보 수집 금지 > 이용자에게 별도 동의 or 법령에서 구체적으로 처리 허용 시 - 주민등록번호 처리 금지 > 정보통신서비스 이용자의 주민등록번호 수집/이용 금지, 동의 받아도 안됨, 온라인으로 회원가입시 주민번호 대체수단을 제공해야 함 - 고지 및 동의사항 > 개인정보의 수집 및 이용 목적, 개인정보 수집 항목, 개인정보 보유 및 이용 기간 - 동의서 작성 시 법정 고지사항을 이해하기 쉽고 명확하게 표시하여 이용자에게 알린 상태에서 동의를 받아야 함 - 개인정보 이용 제한 > 이용자로부터 동의 받은 목적 외 다른 목적으로 사용 금지 - 개인정보 처리 방침을 수립하고 이.. 2023. 4. 18.

정보보안관리 법규 / CPPG 보호되어 있는 글 입니다. 2022. 8. 9.

DoS / DDoS / DRDoS 틀린 부분이 있다면 언제든지 댓글 남겨주세요! 네트워크 기반 공격 중 DoS / DDoS / DRDoS DoS(Denial of Service) : 정상적인 서비스 사용을 못하게 만들어 가용성을 떨어트리는 공격, 단일 PC를 이용해 공격 공격 방식 - Ping of Death: 아주 큰 ping (ICMP echo request) 패킷을 만들어 전송하여 MTU에 의해 다수의 IP 단편화 발생 유도 * ICMP 패킷은 20byte의 IP 헤더 부분을 제외하면 1480byte가 최대 크기 > 대응책: 보통 ICMP 패킷은 분할되지 않으므로 다수의 분할된 패킷이 반복적으로 발생하면 공격 의심 - Land Attack: source IP와 destination IP가 같은 패킷을 만들어 자기 자신에게 응답을 보.. 2022. 5. 18.

API 보안 틀린 부분이 있다면 언제든지 댓글 남겨주세요! API (Application Platform Interface) : 응용프로그램 개발시 운영체제나 프로그래밍 언어(C, java, python 등)에 있는 라이브러리(Library)를 이용할 수 있도록 정의해놓은 인터페이스. 점차 표준 API를 이용해 프로그램을 개발하는 기업이 증가함에 따라 의존도가 높아지고 있음. API를 이용해 데이터를 전송하고 서비스를 연결하는 경우가 많아져 API가 손상되거나 해킹되면 데이터 유출이 발생할 수 있음. 이에 따라 앞으로 보안 상 API가 주요 공격 대상이 됨. 특히 내부 시스템을 이용하는 것이 아니라 인터넷을 통해 호출하는 REST API는 더욱 보안이 필요함. API 접근 방식 - Open API: 백엔드에 서버를 .. 2022. 5. 16.

System Exploitation Fundamental #1 보호되어 있는 글 입니다. 2021. 4. 19.

침투 테스터를 위한 파이썬 오픈소스 도구 웹 어플리케이션 모의해킹 이름 설명 URL wapiti 웹 취약점 스캐너 http://wapiti.sourceforge.net/ w3af 웹 취약점 스캐너 http://w3af.org/category/python V3n0M-Scanner 웹 취약점 스캐너 https://github.com/v3n0m-Scanner/V3n0M-Scanner xsser XSS 취약점 스캐너 http://xsser.sourceforge.net/ sqlmap SQL 인젝션 점검 도구 http://sqlmap.org/ spiderfoot 웹서버 풋프린팅 분석 http://sourceforge.net/projects/spiderfoot/ Parsero 웹사이트 디렉터리 탐색 https://github.com/behindthefir.. 2020. 9. 27.

Sniffing vs Spoofing vs Snooping 틀린 부분이 있다면 언제든지 댓글 남겨주세요! Sniffing, Spoofing, Snoofing, Smurfing, Parming ▶ Sniffing(passive attack): 'sniff-=코를 킁킁거리다' 네트워크 중간에서 패킷 정보를 도청하는 것. 소극적 공격(Passive Attack)으로 방어가 힘들고 공격 여부 조차도 알기가 어려움. 정상적인 네트워크의 필터링- 네트워크의 모든 시스템은 MAC address(L2)와 IP address(L3)를 가짐. 이를 확인하여 자신의 것과 일치하는 패킷만 저장하고 일치하지 않는 패킷은 무시함. But, 공격자는 Promiscuous모드를 통해 target host의 2, 3계층의 필터링을 해제시킴. * Promiscuous모드: 2, 3계층에서 필터.. 2020. 9. 17.

대칭키/비대칭키, SSL/TLS 틀린 부분이 있다면 언제든지 댓글 남겨주세요! 대칭키/비대칭키, SSL/TLS, X.509, HTTPS 통신 방식, WEB Proxy 대칭키 -> 통신에서 사용하는 암호화 키 방식. + : 속도가 빠름. - : 키 동기화가 필요하며, 키 교환시 취약점 발생 가능. -> 키 교환 문제 해결 방법: PKI, Diffie-Hellman, 온라인 키 분배 등 ex) DES, AES, SEED, ARIA 등 취약점: DoS공격, 중간자 공격(->전자서명), 재전송 공격 비대칭키 ->PKI(Public Key Infrastructure). 키 동기화(키 전달), 사용자 인증, 전자서명(부인방지)시 사용. + : 키 교환에서 대칭키보다 안전. - : 속도가 느림. ex) RSA 등 취약점: 수학적 공격(->키 길이 .. 2020. 9. 14.

CVE vs CWE , 위협 vs 위험 틀린 부분이 있다면 언제든지 댓글 남겨주세요! CVE, CWE, OWASP, CVSS, 취약점, 위협, 위험 CVE (Common Vulnerabilities and Exposures): 공개적으로 알려진 보안 취약점(vulnerabilities)을 시간별로 정리한 목록(history) * 보안취약점(vulnerability) :해커가 시스템이나 네트워크에 접근하기 위해 사용할 수 있는 mistake, 운영단계에서 발생 (실제 발생 가능) CVE-연도-순서 CWE (Common Weakness Enumeration): MITRE에서 일반적인 소프트웨어 보안약점(weakness)를 다양한 관점에서 분류한 목록. * 보안약점(weakness) :기능 설계 및 구현 단계에서 발생할 수 있는 보안상의 오류, 개.. 2020. 9. 11.

이전 1 다음

728x90

티스토리툴바