자격증36 Cross-Site Request Forgery(CSRF)이란? Cross-Site Request Forgery(CSRF)이란? XSRF 또는 Session Riding이라고도 하는 CSRF(교차 사이트 요청 위조)는 웹 브라우저를 속여 사용자가 로그인한 응용 프로그램에서 원치 않는 작업을 실행하도록 하는 공격이다. 성공적인 CSRF 공격은 비지니스와 사용자 모두에게 치명적일 수 있다. 세션 쿠키 도난을 포함하여 클라리언트 관계 손상, 무단 자금 이체, 비밀번호 변경 및 데이터 도난이 발생할 수 있다. CSRF는 일반적으로 피해자를 속여 위조된 요청을 서버로 보내도록 유도하는 이메일이나 링크와 같은 악의적인 소셜 엔지니어링을 사용하여 수행된다. 의심하지 않는 사용자는 공격 시 애플리케이션에 의해 인증되기 때문에 합법적인 요청과 위조된 요청을 구별하는 것이 불가능하다... 2021. 11. 29. Cross Site Scripting(XSS)이란? Cross Site Scripting(XSS) 공격이란? Cross Site Scripting(XSS) 공격은 악의적인 사용자가 공격하려는 사이트에 악성 스크립트를 주입하는 것이다. 공격에 성공하면 사이트에 접속한 사용자는 악성 스크립트를 실행하게 되며, 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등 민감한 정보를 탈취한다. 공격 방법에 따라 Stored XSS와 Reflected XSS로 나뉜다. Stored XSS는 사이트 게시판이나 댓글, 닉네임 등 스크립트가 서버에 저장되어 실행되는 방법이고, Reflected XSS는 보통 URL 파라미터(특히 GET 방식)에 스크립트를 넣어 서버에 저장하지 않고 즉시 스크립트를 만드는 방식이다. 후술된 내용 대부분은 Stored XSS라고 생각하면.. 2021. 11. 27. [AWS] AWS Solutions Architect - Associate 자격증 취득 후기 AWS Solutions Architect - Associate 자격증이란? AWS에서 배포 시스템을 설계하고 구현하는 능력을 검증하는 시험이다. AWS 공식 홈페이지 상에서의 시험 응시 대상은 'AWS에서 확장 가능하고 가용성이 뛰어나며 비용 효율적인 내결함성을 갖춘 분산 시스템을 1년 이상 실제로 설계한 경험이 있는 모든 사람'으로 아래와 같은 조건을 갖추고 있는 것이 좋다고 한다. 컴퓨팅, 네트워킹, 스토리지 및 데이터베이스 AWS 서비스는 물론, AWS 배포 및 관리 서비스를 포함하여 AWS 기술에 대한 1년의 실전 경험 AWS에서 워크로드를 배포, 관리, 운영한 경험과 보안 제어 및 규정 준수 요구 사항을 구현한 경험 AWS 관리 콘솔과 AWS Command Line Interface(CLI) .. 2021. 11. 17. [어플리케이션 보안] 기타 어플리케이션 보안 1. 전자상거래 보안 (1) 전자화폐 ▶ 전자화폐 디지털 서명이 있는 금액 가치 정보 전자기기에 전자기호 형태로 화폐적 가치 저장 ▶ 전자화폐 요구조건 불추적성(사생활 보호, 익명성) 오프라인성 가치이전성(양도성) 분할성 독립성(완전 정보화) 이중사용 방지 익명성 취소 ▶ EDS(Fraud Detection System) 통제 전자금융거래에서 사용되는 정보를 분석해 금전 및 사적인 이득을 취하기 위해 발생되는 각종 부정 거래행위를 탐지 및 예방 (2) SET ▶ SET(secure Eletectronic Transaction) 온라인 신용카드 거래 촉진을 위해 VISA와 MASTER CARD사에서 공동으로 개발한 프로토콜 SSL에 비해 상대적으로 느림 전자 서명과 인증서를 이용해 안전한 거래 가능 지급 .. 2021. 3. 10. [어플리케이션 보안] 인터넷 응용 & 데이터베이스 보안 1. 인터넷 응용 보안 (1) FTP ▶ FTP 특징 서버(Server)에 파일을 올리거나 다운로드 하는 인터넷 표준 프로토콜 내부적으로 TCP 프로토콜 사용 명령 채널(TCP 21)과 데이터 전송 채널(TCP 20) 분리 Active Mode와 Passive 모드 스니핑 공격에 취약함, 따라서 전송 과정의 내용을 암호화하는 sFTP 사용 권장 ftpuesrs 파일로 특정 사용자에 대해 FTP 접근 차단 가능 ▶ FTP 종류 FTP : ID 및 Password 인증 수행, TCP 프로토콜을 사용해 데이터 송수신 tFTP : 인증 과정 없이 UDP 기반의 빠른 데이터 송수신, 69번 포트 sFTP : 암호화를 통한 기밀성 제공 ▶ FTP Active Mode와 Passive Mode Active Mode .. 2021. 3. 9. [네트워크 보안] 네트워크 기반 공격 기술 및 대응 기술 1. 네트워크 기반 공격 기술 종류 (1) 서비스 거부 공격(DoS : Denial of Service) 특정 서비스를 계속적으로 호출해 컴퓨터 자원을 고갈시키는 공격 소프트웨어 취약점 이용 공격 로직 공격(Logic Attack) : IP Header 변조 플러딩 공격(.Flooding Attack) : 무작위로 패킷 발생 (2) 분산 서비스 거부 공격(DDoS) ▶ TCP SYN Flooding TCP 패킷의 SYN 비트를 이용한 공격 방법 다른 사용자가 서비스를 제공받지 못함 대응방법 : 방화벽에서 대응 : PPS(Packet Per Second) 조정 First SYN Drop 설정 : 클라이언트 존재 여부 파악 TCP 세션 연결 차단 Back queue 증가 라우터에서 대응 Watch Mode .. 2021. 3. 7. 이전 1 2 3 4 ··· 6 다음 반응형
