반응형 전체188 시큐어코딩(2) - Resource Injection 1. 정의 자원 삽입 (Improper Control of Resource Identifiers, Resource Injection) 외부 입력값을 검증하지 않고 시스템 자원에 대한 식별자로 사용하는 경우, 공격자는 입력값 조작을 통해 시스템이 보호하는 자원에 임의로 접근하거나 수정할 수 있고 잘못된 입력값으로 인해 시스템 자원 사이에 충돌이 발생할 수 있다. 2. 해결방법 - 외부의 입력알 자원(파일, 소켓의 포트 등) 식별자로 사용하는 경우, 적절한 검증을 거치도록 하거나 사전에 정의된 적합한 리스트에서 선택되도록 작성한다. 외부의 입력이 파일명인 경우에는 경로순회(Directory Traversal)를 수행할 수 있는 문자를 제거한다. 3. 예제 ========================== 안전.. 2017. 11. 14. 시큐어코딩(1) - SQL Injection 1. 정의 SQL 삽입(Improper Neutralization of Special Elements used in an SQL Command, SQL Injection) 데이터베이스와 연동된 웹 어플리케이션에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안약점을 말함. 취약한 웹 어플리케이션에서는 사용자로부터 입력된 값을 필터링 과정없이 넘겨받아 동적 쿼리(Dynamin Query)를 생성한다. 이는 개발자가 의도하자ㅣ 않은 쿼리가 생성되어 정보유출에 악용될 수 있다. 2. 해결방법 - preparedStatement 클래스와 하위 메소드 executeQuery(), execute(), .. 2017. 11. 14. 인공지능의 개념 최근의 조사에 따르면 기계지능(machine intelligence) 분야 전문가들은 2050년이면 컴퓨터가 인간 수준의 능력을 갖추고 그 30년 뒤에는 인간을 뛰어 넘을 것으로 예측하기도 한다. 하지만 인간은 인간의 윤리적인 부분을 고려하면서 기계의 진화 속도를 조절할 수 있을 것이기 때문에 인간 수준을 뛰어 넘는 인공지능 개발은 인간 자신의 발전 없이는 이룰 수 없는 목표라 예상되기 때문에 인공지능은 문제를 찾고 다각도로 해결책을 찾는 과정이라 볼 수 있다. 인공지능이란 용어는 수학, 심리학, 컴퓨터공학 분야 학자들이 모인 1956년 다트머스 회의 (Dartmouth Conference)에서 '생각하는 기계'에 대해 의견을 나누면서 처음으로 등장했다. 인공지능은 4가지 기계 기술, 머신프로세싱(mac.. 2017. 11. 13. 사물인터넷(IoT)의 3대 주요 기술 1. 센싱 기술 - 전통적인 온도/습도/열/가스/조도/초음파 센서 등에서부터 원격 감지, SAR, 레이더, 위치, 모션, 영상 센서 등 유형 사물과 주위 환경으로부터 정보를 얻을 수 있는 물리적 센서를 포함 - 물리적인 센서는 응용 특성을 좋게 하기 위해 표준화된 인터페이스와 정보 처리 능력을 내장한 스마트 센서로 발전하고 있으며, 또한, 이미 센싱한 데이터로부터 특정 정보를 추출하는 가상 센싱 기능도 포함되며 가상 센싱 기술은 실제 IoT 서비스 인터페이스에 구현 - 기존의 독립적이고 개별적인 센서보다 한 차원 높은 다중(다분야) 센서기술을 사용하기 떄문에 한층 더 지능적이고 고차원적인 정보를 추출할 수 있음 2. 유무선 통신 및 네트워크 인프라 기술 - IoT의 유무선 통신 및 네트워크 장치로는 기존.. 2017. 11. 12. 클라우드 컴퓨팅 서비스 형태에 따른 분류 (SaaS,PaaS,IaaS) 클라우드 컴퓨팅에서 제공하는 서비스는 제한적인 것은 아니지만 SaaS, PaaS, IaaS 세 가지를 가장 대표적인 서비스로 분류한다. 1) SaaS 어플리케이션을 서비스 대상으로 하는 SaaS는 클라우드 서비스 사업자가 인터넷을 통해 소프트웨어를 제공하고, 사용자가 인터넷상에서 원격 접속을 하여 해당 소프트웨어를 활용하는 모델이다. 클라우드 컴퓨팅의 최상위층에 해당하는 것으로 다양한 어플리케이션을 다중 임대방식을 통해 온 디멘드 서비스 형태로 제공한다. 여기서 다중 임대방식은 공급업체 인프라에서 구동되는 단일 소프트웨어 인스턴트 조직에 제공하는 것을 말한다. 즉, 우리가 흔히 사용하는 e-Mail 관리 프로그램이나 문서관련 소프트웨어에서 기업의 핵심 어플리케이션인 전사적 자원관리(ERP), 고객관계관리.. 2017. 11. 11. 클라우드 컴퓨팅의 정의 클라우드 컴퓨팅은 PC, 휴대폰, TV 등 다양한 세트 기기 이용자들이 네트워크 접속을 통해 자신이 필요로 하는 만큼의 프로세서, 스토리지, S/W를 유틸리티 서비스 형태로 제공받는 방식이다. 세계적인 IT 리서치 그룹인 가트너는 클라우드 컴퓨팅을 인터넷 기술을 활용하여 다수의 고객들에게 높은 수준의 확장성을 가진 IT자원들을 서비스로 제공하는 컴퓨팅으로 설명하고 있다. 또 시장조사기관 포레스터 리서치(Forrester Reacher)는 "표준화된 IT기반 기능들이 인터넷 프로토콜(IP, 네트워크간 데이터 전송을 가능하게 하는 규약)로 제공되고, 언제나 접근이 허용되며, 수요가 변함에 따라 가변적이고, 사용량이나 광고에 따라 과금 모형을 달리하고 있다"며 클라우드 컴퓨팅을 소개하고 있다. 클라우드(CLO.. 2017. 11. 11. 보이스피싱 1. 정의 보이스 피싱은 전화를 통하여 상대방의 신용카드 번호와 같은 개인정보를 불법으로 알아낸 뒤 이 정보를 범죄에 이용하는 전화금융사기 수법을 말한다. 처음에는 국세청 등 공공기관을 사칭하여 세금을 환급한다는 빌미로 피해자를 현금지급기(ATM) 앞으로 유도하는 방식이었으나 이같은 수법이 널리 알려진 뒤에는 피해자가 신뢰할 수 있도록 하기 위하여 사전에 입수한 개인정보를 활용하는 등 다양한 수법들이 등장하였다. 자료에 의하면 2011년 보이스피싱으로 인한 피해 건수는 8244건(피해액 1019억 원)에서 2012년 5709건(피해액 595억 원), 2013년 4765건(피해액 552억 원)이었다가 2014년에는 7635건(974억 원)으로 크게 증가하였다. 2. 보이스피싱 사기유형 - 국세청이나 국민연.. 2017. 11. 11. 디지털 포렌식이란? 1. 정의 위키백과에 따르면 디지털 포렌식은 전자적 증거물 등 사법기관에 제출하기 위한 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 과거에 얻을 수 없었던 증거나 단서들을 제공하는 방법이다. 이 포렌식은 사이버 해킹공격, 사이버 범죄시 범죄자의 컴퓨터, 이메일, IT기기, 스마트폰 등의 운영체제, 애플리케이션, 메모리 등에 다양한 전자적 증거를 남기게 되는데 이를 분석하여 사이버 범죄에 대한 조사나 예방을 하게 된다. 2. 포렌식의 6가지 절차 포렌식에는 로카르드 교환법칙이라는 아주 유명한 원칙이 있다. 로카르드 교환법칙은 '접촉하는 두 물체 간에는 반드시 흔적이 남는다'이다. 이 법칙은 디지털 포렌식에도 그대로 적용된다. 이러한 법칙과 수사원칙 그리고 절차를 통하여 포렌식 수사관들은.. 2017. 11. 10. 암호의 구분 고대로부터 조금씩 발전하기 시작한 암호는 다양한 방식으로 점점 더 작성하기 쉽고 풀기 어렵게 진화해 나갔다. 암호는 대칭 방식과 비대칭 방식으로 분류가 가능하다. 대칭방식은 암호화 할 때의 키와 복호화 할 때의 키가 같은 방식을 말하고 비대칭방식은 키가 다른 방식을 말한다. 1. 대칭 방식(Symmetric Cryptographic Technique) 대칭 키 방식은 암호화를 하는 측과 복호화를 하는 측이 같은 암호키를 사용하게 된다. 암호화 및 복호화에 동일한 키를 사용하는 암호 시스템을 말하는데 암호화/복호화를 하고자하는 당사자 간에 서로 동일한 비밀 키를 가지고 있어서, 메시지를 암호화하거나 복호화할 때, 서로 공유하는 비밀 키로 수행하는 방식으로 비밀 키로 암호화된 데이터는 동일한 비밀 키가 없으.. 2017. 11. 10. 이전 1 ··· 8 9 10 11 12 13 14 ··· 21 다음 반응형