자격증/정보보안기사9 Cross-Site Request Forgery(CSRF)이란? Cross-Site Request Forgery(CSRF)이란? XSRF 또는 Session Riding이라고도 하는 CSRF(교차 사이트 요청 위조)는 웹 브라우저를 속여 사용자가 로그인한 응용 프로그램에서 원치 않는 작업을 실행하도록 하는 공격이다. 성공적인 CSRF 공격은 비지니스와 사용자 모두에게 치명적일 수 있다. 세션 쿠키 도난을 포함하여 클라리언트 관계 손상, 무단 자금 이체, 비밀번호 변경 및 데이터 도난이 발생할 수 있다. CSRF는 일반적으로 피해자를 속여 위조된 요청을 서버로 보내도록 유도하는 이메일이나 링크와 같은 악의적인 소셜 엔지니어링을 사용하여 수행된다. 의심하지 않는 사용자는 공격 시 애플리케이션에 의해 인증되기 때문에 합법적인 요청과 위조된 요청을 구별하는 것이 불가능하다... 2021. 11. 29. Cross Site Scripting(XSS)이란? Cross Site Scripting(XSS) 공격이란? Cross Site Scripting(XSS) 공격은 악의적인 사용자가 공격하려는 사이트에 악성 스크립트를 주입하는 것이다. 공격에 성공하면 사이트에 접속한 사용자는 악성 스크립트를 실행하게 되며, 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등 민감한 정보를 탈취한다. 공격 방법에 따라 Stored XSS와 Reflected XSS로 나뉜다. Stored XSS는 사이트 게시판이나 댓글, 닉네임 등 스크립트가 서버에 저장되어 실행되는 방법이고, Reflected XSS는 보통 URL 파라미터(특히 GET 방식)에 스크립트를 넣어 서버에 저장하지 않고 즉시 스크립트를 만드는 방식이다. 후술된 내용 대부분은 Stored XSS라고 생각하면.. 2021. 11. 27. [어플리케이션 보안] 기타 어플리케이션 보안 1. 전자상거래 보안 (1) 전자화폐 ▶ 전자화폐 디지털 서명이 있는 금액 가치 정보 전자기기에 전자기호 형태로 화폐적 가치 저장 ▶ 전자화폐 요구조건 불추적성(사생활 보호, 익명성) 오프라인성 가치이전성(양도성) 분할성 독립성(완전 정보화) 이중사용 방지 익명성 취소 ▶ EDS(Fraud Detection System) 통제 전자금융거래에서 사용되는 정보를 분석해 금전 및 사적인 이득을 취하기 위해 발생되는 각종 부정 거래행위를 탐지 및 예방 (2) SET ▶ SET(secure Eletectronic Transaction) 온라인 신용카드 거래 촉진을 위해 VISA와 MASTER CARD사에서 공동으로 개발한 프로토콜 SSL에 비해 상대적으로 느림 전자 서명과 인증서를 이용해 안전한 거래 가능 지급 .. 2021. 3. 10. [어플리케이션 보안] 인터넷 응용 & 데이터베이스 보안 1. 인터넷 응용 보안 (1) FTP ▶ FTP 특징 서버(Server)에 파일을 올리거나 다운로드 하는 인터넷 표준 프로토콜 내부적으로 TCP 프로토콜 사용 명령 채널(TCP 21)과 데이터 전송 채널(TCP 20) 분리 Active Mode와 Passive 모드 스니핑 공격에 취약함, 따라서 전송 과정의 내용을 암호화하는 sFTP 사용 권장 ftpuesrs 파일로 특정 사용자에 대해 FTP 접근 차단 가능 ▶ FTP 종류 FTP : ID 및 Password 인증 수행, TCP 프로토콜을 사용해 데이터 송수신 tFTP : 인증 과정 없이 UDP 기반의 빠른 데이터 송수신, 69번 포트 sFTP : 암호화를 통한 기밀성 제공 ▶ FTP Active Mode와 Passive Mode Active Mode .. 2021. 3. 9. [네트워크 보안] 네트워크 기반 공격 기술 및 대응 기술 1. 네트워크 기반 공격 기술 종류 (1) 서비스 거부 공격(DoS : Denial of Service) 특정 서비스를 계속적으로 호출해 컴퓨터 자원을 고갈시키는 공격 소프트웨어 취약점 이용 공격 로직 공격(Logic Attack) : IP Header 변조 플러딩 공격(.Flooding Attack) : 무작위로 패킷 발생 (2) 분산 서비스 거부 공격(DDoS) ▶ TCP SYN Flooding TCP 패킷의 SYN 비트를 이용한 공격 방법 다른 사용자가 서비스를 제공받지 못함 대응방법 : 방화벽에서 대응 : PPS(Packet Per Second) 조정 First SYN Drop 설정 : 클라이언트 존재 여부 파악 TCP 세션 연결 차단 Back queue 증가 라우터에서 대응 Watch Mode .. 2021. 3. 7. [네트워크 보안] 네트워크 일반 및 활용 1. 네트워크 일반 (1) 네트워크 개념 ▶ 거리에 따른 네트워크 유형 PAN(Personal Area Network) : 3m 이내의 인접 지역간의 통신, 짧은 거리로 인해 유선보다는 무선의 WPAN으로 주로 활용 LAN(Local Area Network) : 근거리 영역의 네트워크, 동일한 지역 내의 고속의 전송 회선으로 연결하여 구성, Client/Server와 Peer-to-Peer 모델, WAN보다 빠른 통신 속도 WAN(Wide Area Network) : 광대역 네트워크로 LAN 간의 상호 연결망, LAN에 비해 에러율, 전송 지연 높음, 라우팅 알고리즘(두 목적지 사이의 최단거리) 중요 MAN(Metropolian Area Network) : LAN과 WAN의 중간 형태의 네트워크, 전송매.. 2021. 3. 6. 이전 1 2 다음 반응형
