반응형
SMALL

보안 8

[Java] 스프링(Spring) 보안(Security)

지난 시간에 스프링의 JDBC와 트랜잭션에 대해 학습했는데요 아직 안보셨다면 아래의 링크 ↓↓ 2020/10/02 - [Java] - [Java] 스프링(Spring) JDBC(Java Database Connectivity)와 트랜잭션(Transaction) [Java] 스프링(Spring) JDBC(Java Database Connectivity)와 트랜잭션(Transaction) 추석 연휴가 제법 기네요~ 코로나19로 가족이 모이지 않는 경우도 있겠지만 각자 즐거운 한가위 보내시기 바랍니다 지난 시간에는 폼(Form) 데이터와 Validator를 이용한 데이터 검증에 대해서 알아� yssa.tistory.com 이번 학습 주제는 스프링(Spring)의 보안(Security)으로 로그인 프로그램을 제..

Java 2020.10.02

[Security] 키 분배 프로토콜

우한 폐렴(코로나19)이 한창 유행이네요-_- 덕분에 모처럼 받은 휴가도 집에서...쉬는게 어디냐...후 어찌가 되었던 학습은 멈추면 안되겠죠 이번 주제는 키 분배 프로토콜로 대칭키(Symmetric Key) 암호화와 공개키(Public Key) 암호화에 대한 것입니다 대칭키 암호화 기법은 암호화를 할 때 사용하는 암호화 키와 복호화를 할 때 사용하는 복호화 키가 동일한 암호화 기법을 말하고 양방향 암호화 기법입니다 Session Key, Shared Key, Secret Key, Conventional Key라고도 합니다 대칭키 암호화는 기밀성을 제공하나 무결성, 인증, 부인방지는 보장할 수 없으며 같은 키를 사용하므로 안전한 키 전달 및 공유 방법이 필요하다는 문제점이 있지만 암/복호화 속도가 빨라 ..

Security 2020.02.25

[Security] 보안 운영체제(Secure OS)

이번에는 짤막하게 보안 운영체제(Secure OS)에 대해 학습해보겠습니다 보안 운영체제는 기존의 운영체제에서 발생 가능한 보안 취약성으로부터 시스템 자체를 보호하기 위해 기존 운영체제의 커널 등급에 부가적인 보안 기능을 강화시킨 운영체제입니다 보안 운영체제의 구성요소 중 접근 통제 결정을 중재하는 참조 모니터(Reference Monitor)에 대해 알아보겠습니다 참조 모니터는 주체가 객체를 참조할 때 직접 참조를 수행하지 않고 보안 커널을 통해서 참조하고 보안 커널은 주체에 대해서 정당한 권한을 확인하고 접근한 객체에 대한 정보를 모두 로그에 기록하며 결함으로 발생할 수 있는 취약점은 보안 커널을 통해서 모두 차단하도록 하는 것을 말합니다 참조 모니터가 제대로 동작하려면 다음의 3가지 요소를 만족해야..

Security 2020.02.25

[Security] 정보 보호 개요

2020년 새해가 시작된 지도 벌써 2달이라는 시간이 지나버렸네요-_- 매년 느끼지만 한 것 없이 나이만 먹는거 같은 이 느낌은 어쩔 수가 없는가 봅니다 ㅜ.ㅜ 올해에는 정보 보안 기사를 취득해보겠다고 생각했으니 마음 다 잡고 달려보겠습니다 이번 학습 주제는 정보 보호란 무엇인지에 대해 살펴보도록 하겠습니다 먼저 보안이란 가치있는 유형과 무형자산을 도난, 소실, 유출로부터 보호하는 것을 의미하고, 보호(security)는 보안보다는 광의의 의미로서 위협으로부터 안전한 정도 또는 정보를 저장하거나 유통하는 전반적인 시스템의 안정을 의미합니다 정보 보호는 정보의 수집·가공·저장·검색·송신·수신 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단 또는 그러한 수단으로 이루어지는 행위를 말합니다..

Security 2020.02.23

[Security] 서비스 거부 공격(DoS : Denial of Service)_4

지난 포스팅에서 HTTP Get/POST Flooding에 대해 알아보았습니다 왜 지난 주제를 언급하는가하면 오늘의 학습 주제가 Slow HTTP Get/POST Attack이기 때문입니다 Slow만 앞에 붙어서 뭐 그냥 HTTP Get/POST Attack을 천천히 하는건가? 라는 생각이 드는데요 그럼 방식에 따라서 하나씩 살펴보겠습니다 먼저 Slow HTTP Get방식은 TCP 및 UDP 기반 공격이며 소량의 트래픽과 세션 연결을 통해 공격하고 애플리케이션 서비스의 취약점을 이용한 공격입니다 정상 IP 기반 공격이며 탐지가 어렵다는 특징을 가지고 있습니다 다음은 Slow HTTP Post방식은 HTTP의 Post 데이터가 모두 수신되지 않으면 연결을 장시간 유지한다는 점을 이용한 것인데 Post 지시..

Security 2020.02.18

[Security] 서비스 거부 공격(DoS : Denial of Service)_3

지난 포스팅에 이어 서비스 거부 공격(DoS:Denial of Service) 중 HTTP Get(POST) Flooding에 대해 알아보겠습니다 HTTP Get(POST) Flooding은 정상적인 TCP 연결 이후에 정상적으로 보이는 HTTP Transaction 과정을 수행하는 방식인데 HTTP Get(POST)을 지속적으로 요청하여서 HTTP 연결 및 HTTP 처리 로직까지 과부하를 유발하는데 TCP의 3-Way Handshaking 이후 공격을 수행하기 때문에 IP 변조를 하지 않습니다 아래의 표는 HTTP Get(POST) Flooding 대응 방법을 정리한 것입니다 대응 방법 내용 선별적 IP 차단 TCP 연결요청 임계치 값과 HTTP Get의 임계치 값을 모니터링한 후 비정상적인 트래픽 차..

Security 2020.02.16

[Security] 서비스 거부 공격(DoS : Denial of Service)_2

오늘은 서비스 거부 공격(DoS) 두번째 시간입니다 먼저, ICMP Flooding에 대해 알아보겠습니다 IP특징(Broadcast 주소 방식)과 ICMP 패킷을 이용한 공격 방법인 ICMP Flooding은 Smurfing Attack이라고도 하는데 다수의 호스트가 존재하는 서브 네트워크에 Sorce Address를 공격대상 서버로 위조해서 ICMP Echo 패킷을 Broadcast로 전송합니다 그럼 이에 대한 다량의 응답 패킷이 공격대상 서버로 집중되겠죠-_- 그러면서 DoS가 발생하도록 하는 것입니다 아래에 ICMP 공격에 사용되는 메시지와 ICMP 및 UDP Flooding 대응 방법을 표로 정리하였습니다 메시지 내용 Source Quench(Type-4) 사용 중 전송자에게 패킷 전송 속도를 줄..

Security 2020.02.16

[Security] CPU(Central Processing Unit)

문득 정보 보안에 급 관심이 생기기 시작!! 공부를 하려고 보니 너무 막연하여 정보보안기사 자격증 취득을 목표로 정하고 달려보겠습니다 오늘의 학습 주제는 컴퓨터의 핵심인 CPU(Central Processing Unit)입니다 중앙처리장치의 구성요소를 살펴보면 다음과 같습니다 구성요소 기능 ALU(Arithmetic Logic Unit) 산술연산, 논리연산들을 수행하는 회로 Register PC(Program Counter) 다음에 수행할 명령어가 저장된 주기억장치의 번지를 지정 MAR(Memory Address Register) 주기억장치에 접근하기 위한 주기억장치의 번지를 기억 MBR(Memory Buffer Register) 주기억장치에 입/출력할 자료를 기억 IR(Instruction Regist..

Security 2019.12.10
반응형
LIST