arsenic 알쓰닉?

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.SQL Injection 소개SQL Injection악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL문을 주입하고 실행되게 하여데이터베이스가 비정상적인 동작을 하도록 조작하는 행위이다.▶ 예시Attacker는 OR 문과 "--" 주석을 활용하여 비밀번호 인증을 우회하여 데이터베이스에 접근OWASP Top 10▶ OWASP는 웹 애플리케이션 보안 개선을 위한 글로벌 비영리 조직 OWASP(오왑스)는 주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점(OWASP Top 10)을 3-4년 주기로 발표한다. 이때 SQL Injection은 OWASP Top 10에 자주 들..

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.DNS와 hosts 파일인터넷에 대한 프로토콜이 다양하게 있는데, 그중에 보안과 연관성이 많은 대표적인 것이 바로 DNS이다.hosts 파일을 이용한 정보 수집Hosts 파일DNS 프로토콜을 처리하기 위한 방법론엔 세 가지가 있다. 실제로 서버와 패킷이 왔다갔다 하며 IP를 해석하는 것, 혹은 한 번 알아낸 IP 주소를 캐싱 하거나, 따로 매우 자주 사용하는 도메인의 경우엔 아예 하드코딩하여 지정하는 방법이 있다. 이때 hosts 파일이라는 게 결국 DNS의 가장 기초적인 것 중 하나인 하드코딩에 해당한다. 매번 domain의 ip 주소를 해석해야 하면 성능이 느려지고 부하가 많아지니, 어차피 바뀔 일 없는 그런 도메인 서버 하나에 고정..

경희대학교 중앙동아리 쿠러그의 정보보안 강의를 기반으로 정리한 글입니다.배경 지식DB (Database)여러 사람이 공유하여 사용할 목적으로 구조화된 정보 또는 데이터의 조직화된 모음집이다.대부분은 여러 개의 표가 모여 있다. (마치 엑셀 시트처럼) DBMS (Database Management Systme)데이터베이스를 '데이터의 집합'이라고 정의한다면, 이런 데이터베이스를 관리하고 운영하는 소프트웨어를 DBMS라고 한다.다양한 데이터가 저장되어 있는 데이터베이스에 여러 명의 사용자나 응용 프로그램이 공유하고 동시에 접근이 가능하게 한다.ex) MySQL, Oracle, MariaDBSQL (Structured Query Language)구조화된 질의 언어라는 뜻으로, 데이터를 쿼리 조작 및 정의하고 ..

경희대학교 중앙동아리 쿠러그의 정보보안 강의를 기반으로 정리한 글입니다.웹 해킹해킹이란 개발자가 의도하지 않은 동작을 입력 혹은 행위를 통해 악의적인 결과를 만들어내는 것을 말하며,웹 해킹은 클라이언트와 웹 서버 간의 요청과 응답 흐름에서 발생한다.클라이언트 / 서버▶ 클라이언트 / 서버 클라이언트브라우저서버라는 다른 컴퓨터에 접속할 수 있는 응용프로그램이나 서비스웹페이지에서 하는 요청은 대부분 웹브라우저가 함 (웹에서 클라이언트는 브라우저)HTML, JS, CSS 등웹페이지를 요청해서 CSS와 같은 요소에 연결해서 홈페이지가 그려짐브라우저의 위치도 내 컴퓨터이기에, 코드들의 실행 위치도 내 컴퓨터 안에 있음페이지를 전송받으면 인터프리터를 통해 페이지를 화면에 뿌림서버 사이드웹서버, 데이터베이스클라이언트..