본문 바로가기

전체 글140

클라이언트에 암호화되지 않은 민감-데이터 제한 클라이언트-서버 모델을 사용하는 응용프로그램을 작성할 때 사용자 인증 정보와 같은 민감-정보를 클라이언트 측에 저장하면 클라이언트가 공격에 취약할 경우 허가되지 않은 벙법으로 민감-정보가 노출된다. 웹 응용프로그램에서 이 문제에 대한 가장 보편적인 완화책은 쿠키를 클라이언트에게 제공하고 민감-데이터는 서버에 저장하는 것이다. 쿠키는 웹 서버에 의해 생성되고 일정 기간 동안 클라이언트에 저장된다. 클라이언트가 서버에 다시 연결할 때 클라이언트가 서버에게 자신을 식별하도록 하는 쿠키를 제공하면 서버가 민감-정보를 제공하는 것이다. 쿠키는 XSS공격으로부터 민감-정보를 보호하지 못하는데 XSS공격이나 클라이언트를 직접 공격해서 쿠키를 얻을 수 있는 공격자는 쿠키를 이용하여 서버로부터 민감-정보를 탈취한다. 만.. 2020. 4. 2.

민감-데이터의 수명을 제한하는 자바시큐어코드 ※ 귀찮아도 한번 읽고 보자! 자바 시큐어 코딩 chapter1의 안전성부분은 자바 프로그래밍 언어와 런타임 시스템은 안전성을 염두에 두고 설계되었다. 예를 들어 프로그래머가 명시적 포인터를 사용하지 않도록 하며 널 포인터를 참조하면 예외(exception)를 발생시킨다. 이와 유사하게 배열이나 문자열의 범위를 벗어나 엑세스해도 예외가 발생된다. 자바는 타입에 대해 엄격하게 처리하는 언어이다 선술타입과 변환에서와 같이 모든 암묵적 타입 변환에 대해 플랫폼을 독립적으로 잘 정의되어 있다. 자바 가상 머신(JVM:Java Virtual Machine)은 바이트코드가 자바 언어 규격을 준수하면서 수행되도록 보장하기 위해 바이트코드 검증기를 내장하고 있다.(Java SE 7에서는 언어에서 정의한 검사가 적절히 .. 2020. 3. 30.

공개키 구조, PKI(Public Key Interface) 공개키 구조, PKI (Public Key Interface) I. 공개키 기반 구조, PKI 가. PKI(Public Key Interface)의 개념 인증 기관의 전자 서명된 인증서 분배를 통해 공중망 상호인증 기반 전자 거래 인터페이스 나. PKI의 목적 목적요소 기술주요 내용 인증 Certificate, X.509 – 사용자 확인, 검증 기밀성 AES, SEED, 3DES – 송수신 정보 암호화 무결성 SHA, MD5 – 송수신 정보 위/변조 방지 부인봉쇄 전자서명 – 송수신 사실 부인방지 접근제어 MAC, DAC, RBAC – 허가된 수신자 접근 가능 키 관리 LDAP – 공개키 발급/등록/관리 II. PKI 구성도 및 구성요소 가. PKI 이용한 전자 거래 구성도 – 사용자가 인증서를 RA에 .. 2020. 3. 30.

python을 이용한 ARP 스푸핑 구현하기 ARP Spoofing은 근거리 통신망 하에서 주소 결정 프로토콜 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다. ARP 스푸핑은 해커들이 즐겨 사용하는 고전적인 방법 중 하나이며, 중간자 공격 등을 위한 매우효과적인 해킹 기법이다. 만약 이 컴퓨터에서 192.168.30.2라는 IP주소를 가진 사용자에게 정보를 전송한다고 가정하자 그럼 192.168.30.2로 데이터를 전송하기 위해 ARP 브로드캐스트를 수행하기 전 ARP 테이블을 참조하여 캐시된 내용을 찾는다. 그래서 IP주소 192.168.30.2의 MAC주소가 있으면 해당 MAC주소로 정보를 .. 2020. 3. 27.

이전 1 ··· 9 10 11 12 13 14 15 ··· 35 다음

티스토리툴바