어플리케이션 보안
네트워크·보안/정보보안기사
2021. 5. 20.
[정보보안기사] 03.어플리케이션 보안 - 기타 취약점
[정보보안기사] 03.어플리케이션 보안 - 기타 취약점 기타 취약점 구분 취약점 판단 대응 방법 Command Execution - html form 등 입력가능 폼에 시스템 명령어를 삽입해 실행되면 취약 - 사용자 입력값 검증 - 시스템 명령어 삽입 차단 shell_exec(), passthru() exec(), system() - 필요한 명령어는 화이트리스트 정의 File Upload - 파일 업로드가 가능한 게시판 등에 웹쉘 업로드 - 업로드 파일 확장자에 대한 필터링 - 파일저장 전용 디렉토리 설정 - 웹쉘 실행 안되도록 처리 File Download - 정상적인 파일 다운로드 후 URL 파라미터 확인 - 정상적인 경로 이외의 경로로 파일 다운로드 - 허용하는 경로외 디렉토리, 파일 접근 불가 -..
네트워크·보안/정보보안기사
2021. 5. 18.
[정보보안기사] 03.어플리케이션 보안 - CSRF
[정보보안기사] 03.어플리케이션 보안 - CSRF 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하는 공격 XSS와 CSRF의 차이 XSS CSRF 공격대상 Client Server 개요 사용자의 개인정보, 쿠키정보 탈취 요청을 위조하여 사용자의 권한을 이용해 서버에 대한 악성공격 대응방법 Security Token 사용 토큰값과 요청 파라미터에 전달되는 토큰 값 일치 검증 Referrer 검증 같은 도메인 상에서 요청이 들어오지않으면 차단 입력 값 검증 서버측에서 입력값에 대한 필터링 CAPTCHA 사용 - 사용자와 상호처리 기능 적용 - 사용자가 실제 사람인지 봇인지 구별하는 기술 재인증 요구 중요기능의 경우 재인증을 통해 실제 요청 여부 확인
네트워크·보안/정보보안기사
2021. 5. 18.
[정보보안기사] 03.어플리케이션 보안 - SNMP version 보안서비스
[정보보안기사] 03.어플리케이션 보안 - SNMP version 보안서비스 SNMP version 구분 설명 SNMPv1 - 보안기능 없음 - Community String 만 일치하면 모든 정보 획득 가능 - Sniffing 취약 SNMPv2 - 전송하는 정보에 암호화(DES), 해시(MD5)추가 - 송신 인증기능 없음 - SNMPv2 보안기능 제거한 버전을 사용하면, 평문 전송 - Sniffing 취약 SNMPv3 - SSL/TLS을 통한 고차원적 보안 - 데이터 인증, 암호화, 재사용방지, 세분화된 접근 통제 등 보안서비스 제공 - 안전한 통신망 관리 기술 제공 SNMPv3 보안서비스 매개변수 공격 방어 설명 Authoritative 엔진 ID 부트 횟수 시간 재전송 공격 방지 매개변수를 활용하여..
네트워크·보안/정보보안기사
2021. 5. 17.
[정보보안기사] 03.어플리케이션 보안 - DNS
[정보보안기사] 03.어플리케이션 보안 - DNS DNS는 호스트에 대한 문자형 주소를 숫자형 주소로 변환을 위한 계층구조형 분산 데이터베이스 시스템 DNS 종류 종류 예시 설명 Recursive/Cache name server KT DNS (168.126.63.1) - 관리하는 도메인이 없는 네임 서버 - 사용자 질의에 자신의 캐시에 저장된 정보 또는 반복질의를 통해 결과 응답 Authoritative name server ns1.google.com (216.239.32.10) - 관리하는 도메인이 있는 해당 도메인에 대한 질의만 응답 DNS 서버에 대한 테스트 Google의 네임서버(Authoritative Name Server)로 naver.com 주소 물어보기 Query 종류 종류 설명 Recur..