본문 바로가기

전체 글70

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(35일차) - 작성 중 오늘 학습 주제 1. 취약점 진단 실습 - SQL Injection 2. 취약점 진단 실습 - 악성 코드 파일 업로드 3. 취약점 진단 실습 - Directory traversal 4. 취약점 진단 실습 - 인증 우회 취약점 진단 - SQL Injection - SQL Injection - SQL Injection 정의 OWASP Injection 공격 중 한 형태로 특정 페이지나 기능 사용 시 입력 값에 대한 DB 쿼리 유효성 검증을 하지 않아 DB 쿼리가 조작되어 공격자가 의도한 대로 행동하도록 하는 취약점 결과 DB 내 주요 정보 유출 DB 내 데이터 수정 / 삭제 인증 우회 공격(보안진단) 포인트 게시판 view / write / edit 시 DB의 쿼리 문에 포함되는 파라미터 값 첨부파일 다운로.. 2023. 12. 12.
[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(34일차) 오늘 학습 주제 1. 취약점 진단 2. 취약점 진단 실습 - XSS 3. 클라우드 진단 취약점 진단 - 취약점 진단 - 취약점 진단 정의 시스템이나 소프트웨어의 보안 상태를 평가하고 가능한 취약점을 식별하는 프로세스 특징 모의해킹은 제로베이스이며 기간이 오래 걸림 취약점 진단은 사전에 정보를 받고 진단 - 동적 진단 vs 정적(소스 코드) 진단 - - 취약점 진단 과정 - 취약점 진단 과정 정의 시스템이나 소프트웨어의 보안 상태를 평가하고 가능한 취약점을 식별하는 프로세스 특징 대상 서비스 정보 수집 / 획득 환경 분석(서비스 분석) 아키텍쳐의 관점에서 환경을 확인하고 그에 맞는 취약점 분석 서비스에 대한 이해를 위해 수행 제한된 시간에서 효율적으로 취약점 진단을 하기 위한 과정 취약점 진단 수행 보고서.. 2023. 12. 11.
[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(33일차) 오늘 학습 주제 1. 배포(Deployment) 2. CodeDeploy 배포(Deployment) - 배포 - 배포 정의 개발된 소프트웨어를 실제 운영 환경에 배치하여 사용자가 해당 소프트웨어를 이용할 수 있도록 하는 프로세스 특징 환경 구성 및 설정: 운영 환경에 필요한 서버, 데이터베이스, 네트워크 등의 인프라를 설정 빌드 프로세스 소스코드를 실행 가능한 형태로 컴파일하거나 번들링하는 등의 빌드 프로세스를 수행 프로젝트의 소스코드를 최적화하고 필요한 리소스를 생성 테스트 단위 테스트, 통합 테스트, E2E(End-to-End) 테스트 등을 실행하여 프로젝트의 안정성과 기능을 검증 배포 전에 문제를 발견하고 수정함으로써 안정적인 배포를 보장 배포 스크립트 작성 환경 구성, 의존성 설치, 빌드, 테스트.. 2023. 12. 8.
[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(32일차) 오늘 학습 주제 1. 서버리스 아키텍처 2. 서버리스 구축 서버리스 아키텍처 - 서버리스 아키텍처 - 서버리스 아키텍처 정의 애플리케이션을 개발하고 배포하기 위한 혁신적인 접근 방식 중 하나로 전통적인 서버 기반의 모델과는 다르게 서버 관리에 대한 부담을 최소화하고 개발자가 코드 작성에 집중할 수 있도록 하는 방식 특징 서버 없음 (Serverless): 서버리스 아키텍처에서는 서버를 명시적으로 관리하지 않으며 개발자는 코드를 업로드하고 실행하는 플랫폼에 대해 걱정하지 않아도 됨 이벤트 기반 (Event-Driven): 서버리스 애플리케이션은 이벤트에 응답하는 방식으로 동작하며 파일이 업로드되었을 때, HTTP 요청이 발생했을 때 등과 같은 이벤트에 대한 함수를 작성하고 실행 가능 자동 확장 (Auto-.. 2023. 12. 7.