반응형 [보안 Archive] ~2017/<인터넷 해킹과 보안> 정리8 소스코드 취약점 분석, 소스코드 취약점 유형 01 소스코드 취약점 분석 보안 취약점을 찾는 2가지 방법; Black Box Testing 웹 어플리케이션의 소스코드를 보지 않고, 어플리케이션의 외부 인터페이스 구조를 분석하여 취약점을 발견하는 방식 장점 : White box testing 보다 취약점을 찾는 속도가 빠르고 다양한 취약점 공격을 시도할 수 있다. 또한 인터페이스 간의 상관관계 분석을 통해 취약점이 발생 할 수 있는 부분을 식별할 수 있다. White Box Testing 개발된 소스코드를 살펴봄으로 코드 상의 취약점을 찾는 방식 장점 : 소스코드를 볼 수 있기 때문에 보안 취약점의 존재 유무를 더 확실히 알 수 있다. 하지만 소스코드를 일일이 검토하면 시간이 많이 소요된다. Gray Box Testing - Black Box Test.. 2020. 3. 28. 웹 보안의 기본 요소 - 인증, 접근 통제, 입력값 검증 01 사용자 인증 패스워드 공인인증서 공인인증서는 전자 서명의 검증에 필요한 공개키에 소유자 정보를 추가하여 만든 일종의 전자 신분증이다. 비밀번호처럼 단순한 한개의 정보가 아닌 공개키와 비밀키의 쌍을 이용하여 사용자를 인증하는 공개키 기반 구조(PKI : Public Key Infrastructure) 매커니즘을 사용한다. 공개키 기반 구조는 공개키와 비밀키 쌍을 생성하여 공개키는 와부에 공개하고 비밀키는 소유자 자신만 가지고 있으면서 다른 사람이 공개키로 암호화한 내용을 자신의 비밀키로 복호화하는 방식이기 때문에 사용자의 신원 인증을 강화할 수 있다. 생체인증 (Biometric authentiication) 사용자 인증을 위한 가장 강력한 방안이다. 사람 그 자체를 인증수단으로 사용한다. 생체인증 .. 2020. 3. 28. 웹 해커의 도구들 - 브라우저, Burp Suite, 취약점 스캐너 01 웹 브라우저 인터넷 익스플로러, 크롬, 파이어폭스 등의 브라우저들이 개발자 도구를 제공한다. 개발자 도구는 웹 사이트의 페이지 레이아웃, HTML, CSS 코드를 브라우저에서 간편하게 열어 검토할 수 있게 해준다. 개발자 도구를 통해 웹 어플리케이션의 구조를 쉽게 파악할 수 있으며, 쿠키값을 보거나 데이터를 변조하는 공격을 할 때 유용하게 쓰인다. 02 Burp Suite Burp Suite는 기본적은 기능인 웹 프록시 외에도 다른 기능들을 제공한다. 1. Target 기능 탐색한 사이트에 대한 정보를 확인할 수 있다. 웹 사이트의 구조를 분석할때 유용하게 쓰인다. 사이트를 탐색하다 보면 target 메뉴에 사이트의 구조가 나타난다. (Burp Suite는 구조를 분석할때 해당 페이지에 포함된 링크.. 2020. 3. 28. 인터넷에 대한 이해 - 프로토콜, 거버넌스 (해당 글은 '인터넷 해킹과 보안'(작가 김경곤 출판 한빛아카데미)을 공부하며 내용을 정리한 글입니다.) 1장 인터넷에 대한 이해 프로토콜: 컴퓨터 간에 정보를 교환하기 위한 통신 규약 프로토콜의 3가지 요소 구문(Syntax) : 데이터의 형식이나 신호로, 부호화 방법들을 정의한다 의미(Semantics) : 정확한 정보 전송을 위한 전송 제어와 오류 제어 방법들을 정의한다 순서(Timing) : 송/수신자 간 혹은 양단(end-to-end)의 통신 시스템과 망 사이의 통신 속도나 순서를 정의한다. TCP/IP (Transmission Control Protocol / Internet Protocol) : 가장 많이 쓰이는 프로토콜 RFC (Request For Comments) : 인터넷에서 기술을 .. 2016. 6. 20. 이전 1 2 다음 반응형