[Secure]_Network_#04_[LAN통신, UTP케이블, uplink, downlink, DNS request, arp header, ARP spoofing]
Lan 통신, UTP케이블 : 10 base T 100 base T 1000 base 2 5 10, 100, 1000 --> 전송 속도. base --> 전송 방식 (baseband 방식(증폭없이 그대로 보내기), brandband 방식) T, T, 2, 5 --> 전송거리 T --> 100m 2 --> 185m --> (thin) 5 --> 500m --> (thick) ** 신호가 같을 때, 선이 두꺼울 수록 전송 거리는 길어진다. 오른편의 4개는 외부로 연결되는 uplink port이고, 왼편의 24개는 각 pc들에 연결하는 downlink port이다. 보통의 스위치에는 uplink port가 없는 경우가 많은데, 이런 경우에는 왼편의 port중 2개를 uplink port로 사용한다. * 그러나..
2021. 11. 15.
[Secure]_Network_#03_[프로토콜, 케이블, 회선, UTP케이블 구성, RJ, POE스위치, AP, Straight, Cross-over cable, NIC, 버퍼, 대칭키, 공개키, 복합암호시스템]
- 1계층(물리 계층) 프로토콜 : (1) UTP 케이블 (2) NIC(랜카드 - Network Interface Card) 먼저, UTP 케이블에 대해 알아보기 전에 "케이블"이 무엇인지부터 알아보겠다. ㅡㅡㅡㅡㅡ 케이블(Cable) -> 회선 여려개를 묶어놓은 것. STP 케이블(Shield) UTP 케이블(Unshield) 회선(Line) -> 두 가지 가닥으로 이루어진 하나의 회선. ㅡㅡㅡㅡㅡ UTP 케이블 구성 : 주황 --> 비음성 White Orange Orange 녹색 --> 비음성 W/G G 청색 --> 음성 W/B B 갈색 --> 동기용 W/B B ㅡㅡㅡㅡㅡ ** POE 스위치는 4,5 번 포트로 전원을 공급가능하다. ** AP : Access Point (..
2021. 11. 13.
[Secure]_Network_#02_[식별, 인증, 권한부여, 아이디와 계정의 차이, 운영체제, 리눅스 구조, 리눅스 3요소, 방화벽, IDS, IPS, 암호의 종류, hash, 대칭키, 비대칭키]
- 식별 - 인증 - 권한 부여 - 부인 방지 - 책임 추적성 - 접근 통제 식별자(아이디) (Identifier) : 침입 불가 계정(Acount) : Server내 침입 가능 권한 부여 --> root 일반 계정 운영체제 네트워크와 병행한 운영체제(OS)에 대한 이해가 필요함. 실무적으로 가장 중요한 운영체제는 윈도우, 서버의 경우에는 유닉스(리눅스) 서버임. 운영체제 데스크톱 : window 서버 : window 계열 : windows server 2019 Unix 계열 : Unix, Linux [ 리눅스/유닉스 3요소 ] 1. 셸 2. 커널 3. 파일 시스템 ** Client 에서는 프로세스 Server 에서는 데몬 - CPU : 중앙처리장치 - RAM : 주기억장치 - H/W : 보조기억장치 e..
2021. 11. 8.
[Secure]_Network_#01_[ 정보보안, 정보보호, 데이터, 정보, 보안 3대 요소, 해킹과 보안의 역사, 자격 요건, 보안 관련 법, 기밀성, 무결성, 가용성, 해시함수 ]
- 정보보안 : 인간의 오감으로 확인 가능한 것. - 정보보호 : 비가시적으로 확인 하는 것. --> 정보보안 / 정보보호의 목표 --> (데이터 , 정보) 보호 데이터 --> 처리 --> 정보 = 네트워크를 타고 이동. / 시스템에 저장. / 웹에서 사용자가 이용. 1. 네트워크 일반 (지식) 2. 네트워크 장비 3. 활용 명령어 - 도구 4. 네트워크 기반 공격 ㅡㅡㅡㅡㅡ 1. 해킹의 보안의 역사 - 물리적 보안 - 기술적 보안 (논리적) - 관리적 보안 (법규) 2. 보안의 3대 요소 - (1) 기밀성(비밀성) - (2) 무결성 : 함부로 변경x - (3) 가용성 : 시간, 공간 제약 없이 사용. 3. 보안 전문가의 요건 - (1) 네트워크 - (2) 시스템 - (3) 애플리케..
2021. 11. 6.
[Secure]_#04_[XSS, stored, reflected, 필터링, 세션 하이재킹, CSRF, 입력막기, 출력막기, 약한 문자열 강도, 불충분한 인증, 취약한 패스워드 복구, 세션 예측, 세션/쿠키, hash]
크로스사이트 스크립트(XSS)는 두가지로 나눌 수 있다. stored : 공격자가 입력한 코드가 서버에도 저장되어 다른 사용자에게도 영향을 주는 것. reflected : 공격자가 공격자 자신에게 XSS를 일으키는 것.(서버에 영향X) ** 그렇다면, reflected XSS가 취약점인 이유는 무엇일까? --> 공격자가 [신뢰할 수 있는 사이트]의 url의 뒷부분에 [악성사이트의 url]을 더해서 일반사용자에게 전달한다면? --> 사용자들은 의심없이 그 url에 접속할 것이다. ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ XSS 를 찾는 방법에 대해 생각해보자. --> 입력이 가능한 모든 입력창에 악의적인 스크립트를 입력한다. **악의적인 스크립트 : 사용자의 목적외에 의도하지 않은 일이 일어나는 것.(tag, 이벤트핸들러, 행..
2021. 9. 13.
[Secure]_03_[SSI Injection, 디렉터리 인덱싱, 정보 누출, 평문 노출, 마스킹 정보 소스에 평문 노출, 인코딩, 암호화, 통합 에러 설정, robot.txt, User-agent : * , 크로스 사이트 스크립팅]
SSI Injection 점검 내용 : 웹페이지 내 SSI injection 공격 가능성 점검. ** SSI(Server Side Includes): CGI 프로그램을 작성하거나 혹은 서버사이드 스크립트를 사용하는 언어로 웹 서버가 사용자에게 페이지를 제공하기 전에 구문을 해석하도록 지시하는 역할을 함. --> 운영체제 명령어와 비슷하다.(ls , ls -al, ...) --> 운영체제 명령어를 웹에서 인식하는 것 자체가 큰 문제이기 때문에 거의 막아져 있다. --> 발생 X ** 인젝션 취약점 : 내 화면이 아닌 서버에 문제를 일으키는 것 -> 인젝션 취약점은 점점 줄어든다. -> 이유 : 패턴이 단순하다.(웹 방화벽에서 막을 수 도 있음.) -> 그러나, 뚫리면 피해가 크기 때문에 중요하다. ** 지..
2021. 9. 11.
[Secure]_#02_[ 포맷스트링, LDAP 인젝션, SQL-injection, blind sql injection, OR 1=1, 필터링, 바인딩, PreparedStatement ]
점검 내용 : 웹 애플리케이션 포맷 스트링 취약점 존재 여부 점검 점검 목적 : 공격자의 포맷 스트링 취약점을 통한 악의적인 행위를 차단하기 위함. 보안 위협 : C언어로 만드는 프로그램 중 변수의 값을 출력하거나 입력받을 때, 입력받은 값을 조작하여 프로그램의 메모리 위치를 반환받아 메모리 주소를 변조하여 시스템의 관리자 권한을 획득할 수 있음. ** 메모리 위치 -> 서버 취약점 ** 해당 메모리에 대해 error가 뜨기 때문에 결국 와 똑같다. 대상 : 웹 애플리케이션 소스코드, 웹 기반 C/S 프로그램. ** C/S 프로그램 : 인터넷을 사용하는 프로그램(도사관 자리 예약 앱, 식당 키오스크) -> 엄밀히는 웹 취약점 분석이라곤 할 수 없다. // 트리 형태의 자료 구조(ex. 조직체계도) - 취..
2021. 9. 5.
[Secure]_#01_[고유식별번호, 개인정보, 웹취약점 진단, OWASP TOP 10, 주요통신 기반시설 취약점 진단 가이드, 버퍼오버플로우]
01. 고유식별정보 : 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호에 해당하는 정보를 말합니다. ※ "개인정보"란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(「개인정보 보호법」 제2조제1호). 1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함) 3. 위 1. 또는 2. 에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·..
2021. 9. 5.