스터디

1. 네트워크 5대 관리 기능(계구성장보) (1) 계정 관리 개방시스템에서 일어나는 어떤 활동에 의해 소비되는 자원에 관한 모든 정보를 관리하는 것. 인증 기능 : 어떤 자원에 대한 사용자의 접근 권한을 관리 / 어떤 네트워크 자원에 접근하려는 사용자가 정당한 사용자인지 인증 과금 기능 : 사용자가 네트워크 자원을 얼마나 많이 사용하였는지 파악하여 요금 청구 (2) 구성 관리 네트워크 구성원들 사이의 관계와 상태를 보여주느 ㄴ것 (3) 성능 관리 장기간에 걸쳐 네트워크의 처리율이나 이용도, 에러 등을 측정하여 시스템의 성능에 관한 정보를 수집하고 분석하는 것 (4) 장애 관리 복잡한 네트워크가 원활히 동작하도록 하기 위해서 제대로 동작하지 않는 네트워크의 요소를 찾아내 문제점을 해결 (5) 보안 관리 패..

iOS와 안드로이드 보안 체계 비교 구분 iOS Android 운영체제 Dawin UNIX에서 파생돼 발전한 OS X의 모바일 버전 리눅스 커널(2.6.25)를 기반으로 만들어진 모바일 OS 보안 통제권 애플 개발자 또는 사용자 프로그램 실행 권한 관리자(root) 일반 사용자 응용 프로그램에 대한 서명 애플이 자신의 CA를 통해 각 응용프로그램을 서명하여 배포 개발자가 서명 샌드백스 엄격하게 프로그램 간 데이터 통신 통제 iOS에 비해 상대적으로 자유로운 형태 부팅 절차 암호화 로직으로 서명된 방식에 의한 안전한 부팅 절차 확보 소프트웨어 관리 단말 기기별 고유한 소프트웨어 설치 키 관리 BYOD (Bring Your Own Device) 보안 기술 1) MDM(Mobile Device Manageme..

TPC/IP 계층별 분류 1. 물리 계층 응용, 전송, 네트워크 데이터 링크에서의 통신은 논리적(logical)이고, 물리 계층의 통신은 물리적(physical)이다. 간단하게 호스트 대 라우터, 라우터 대 라우터, 라우터 대 호스트만을 보는데, 교환기도 물리적 통신에 포함된다. 데이터와 데이터를 표현하는 신호는 아날로그 or 디지털형태일 수 있다. 아날로그 : 연속적인 정보 디지털 : 이산적인 정보 2. 데이터링크 계층 데이터링크 계층에서의 통신은 노드 대 노드이다. 데이터링크 계층에서의 패킷은 일반적으로 프레임이라 부른다. 인터넷 상에서 하나의 지점으로부터의 데이터 유닛은 다른 지점에 도달하기 위해 LAN과 WAN과 같은 많은 네트워크를 통해 전달 된다. 이러한 LAN과 WAN은 라우터를 통해 연결되..

IPv4와 IPv6 비교 구분 IPv4 IPv6 주소 길이 32비트 128비트 표시방법 8비트, 4부분, 10진수로 표시 Ex) 202.252.53.12 16비트, 8부분, 16진수로 표시 Ex) 2002:0221:ABCD:DCBA:0000:0000:FFFF:4002 주소 개수 약 43억개 2128개 주소할당 방식 A,B,C,D등의 클래스 단위 비순차 할당 네트워크 규모, 단말기수에 따라 순차 할당 브로드캐스트 주소 있음 없음(대신, 로컬범위 내에서의 모든 노드에 대한 멀티캐스트 주소 사용 헤더 크기 가변 고정 QoS 제공 미흡 제공 보안 IPSec 프로토콜 별도 설치 IPSec 자체 지원 서비스 품질 제한적 품질 보장 (Type of Service에 의한 서비스 품질 일부 지원) 확장된 품질 보장 (트..

OSI 7Layer 구조 계층 특징 데이터 종류 예 7 응용 각종 응용서비스 제공 네트워크 관리 메시지 FTP, TFTP, SNVP, SVTP, Telnet, HTTP, DNS, DHCP 6 표현 네트워크 보안(암, 복호화) 압축/압축해제, 포맷 변환 수행 ASCII, Mpeg, jpg, MVE 5 세션 소켓 프로그램 동기화 세션 연결/관리/종류 전송모드 결정 (반이중, 전이중 등) SQL, RPC 4 전송 데이터 전송보장 흐름제어 QOS(Quality Of Service) 세그먼트 TCP, UDP, SCTP 3 네트워크 통신경로 설정, 중계기능 담당 라우팅 IPv4&Ipv6 패킷 IP, ICMP, IGMP, ARP, RARP, NAT, RIP, EGP 2 데이터링크 오류제어, Frame화 매체제어(MA..

오늘은 PHP의 htmlspecialchars() Function을 사용해 XSS 취약점에 대해 시큐어 코딩을 해보았다. htmlspecialchars() 함수는 일부 정의된 문자를 HTML 엔티티로 변환한다. 사전에 정의된 문자는 다음과 같다. 특수문자 변환된 문자 & & " $quot; ' ' > XSS에서는 공격자가 악의적인 스크립트를 삽입하는 공격이기에 를 못 쓰게 만들어야 한다. 여러가지 방안이 있지만 가장 좋은 대응책은 htmlspecialchars()함수를 사용하는것이다. 나의 웹사이트의 경우 1. 게시판 검색창 2. 게시판 메인화면의 제목이 보여지는 곳(회원전용) 3. 게시판 메인화면의 제목, 작성자가 보여지는 곳(비회원문의) 4. 글을 들어가서 읽는 페이지의 제목, 내용 5. 기..

SQL Injection 공격의 대응방안의 시작이자 끝 prepared statement. 이걸 하면 아예 SQL Injection 공격이 불가능하다는데, 1) 귀찮아서 안 하는 곳 2) 제대로 구현을 안 해놓은 곳이 있단다. 검색을 해보니 객체지향 방식과 절차형?! 방식이 있다는데, 나는 일단 객체를 잘 모르니. 절차형 방식으로 구현해보았다. 기존 방식의 경우 SQL 쿼리문을 만들고, 바로 mysqli_카레를 주문 때렸고, 그결과를 변수에 담아 사용 했다. 그러다 보니 로그인 ID 창에 공격자가 SQL Injection 공격 을 위해 (' or 1)등과 같은 값을 입력하면 이 값자체가 SQL 구문으로 인식되어 공격이 가능했다. [아, 물론 이 SQL문에서는 위의 값으로는 우회가 되지 않는다. 식별 인증..

오늘은 로그인 페이지를 구현했다. 못생겼다. 꾸미는 것보다는 내부적으로 어떻게 구현이 되는지 아는 것이 중요하다. 다음주 부터는 시큐어 코딩. login_view.php 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 loginPage LOGIN PAGE 아이디 패스워드 로그인 Colored by Color Scripter cs login_server.php 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 4..

회원가입 페이지를 PHP로 구현해 보았다. 역시 이쁘지 않다. mysqli_real_escape_string() 이란? php에서 제공하는 함수로 MYSQL과 커넥션을할때 String을 Escape한 상태로 만들어준다. 사용법 : mysqli_real_escape_string(connection, escapestring); - MYSQL 과 연결하는 connection과 escape형태로 만들어줄 string을 입력한다. Escape string이란? 우리가 string을 입력할때 Tom's cat 이란 입력을 하면 '는 sql문에 앞서 있던 ' 와 중첩이 될 수 있다. 이러한 문제를 막기위해 \n, \r \" 처럼 구별해주는 형태로 만들어주는 것을 Escape string 이라고 한다. 1_regist..

1. 악성 소프트웨어 개념 : - 개발자가 의도적으로 사용자가 원치 않는 기능을 컴퓨터 프로그램에 포함시키거나 프로그램 자체의 오류로 인하여 사용자가 원치 않는 시스템 충돌, 프로그램 중단, 개인정보 수집, 네트워크 포트 개방 등의 결과가 발생할 수 있다. - 컴퓨터 프로그램이 의도적 또는 비의도적으로 실행되면서 기밀성, 가용성, 무결성 등의 보안속성을 침해할 경우 해당 프로그램은 유해한 프로그램으로 간주 - 의도적으로 컴퓨터의 보안속성을 침해할 목적으로 작성된 프로그램을 악성 프로그램이라 한다. 구분 바이러스 트로이목마 웜 자기 복제 있음 없음 매우 강함 형태 파일이나 부트섹터 등 감염 대상필요 유틸리티로 위장하거나 유틸리티 안에 코드형태로 삽입 독자적으로 존재 전파 경로 사용자가 감염된 파일을 옮김 ..