SK shieldus Rookies 16기66 [SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(62일차) 오늘 학습 주제 1. SQL Injection 2. 취약한 시큐어 코딩 SQL Injection - Blind SQL Injection - 조건문의 결과 중 원하는 위치의 값 하나가 ASCII 값과 대소비교를 통해 정확한 값을 찾아내는 공격 논리형 결과로 데이터 확인 - 절차 - [테이블 개수 확인]and (select count(table_name) from all_tables) > 106--테이블의 정확한 수가 나올때까지 대소비교 [테이블 명 추출]and ascii(substr(select table_name from (select table_name, rownum as rnum from all_tables) where rnum=60)1, 1)) > 75--원하는 테이블의 이름을 찾을 때까지 숫자를 .. 2024. 1. 31. [SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(61일차) 오늘 학습 주제 1. 웹 모의해킹 개론 2. 웹 브라우저 3. 웹 어플리케이션 트랜드 4. SQL Injaction 웹 모의해킹 개론 - 웹서비스 동자 구조 - 사용자(브라우저)가 요청을 하면 방화벽 > 웹 서버 > 웹 어플리케이션 > DB에 요청이 전달 - HTTP Method - PUT과 Delete는 현재 사용이 거의 없음 점검 시에는 정상적인 파일을 PUT으로 저장하고 Delete로 저장한 파일 삭제 - 세션과 쿠키 - 세션은 변조를 통해 권한 등에 영향을 주기 때문에 보안 코딩 적용 쿠키는 변조가 있어도 큰 영향이 없기 때문에 편의성 위주의 관리 웹 브라우저 - 웹 브라우저 - 브라우저마다 사용하는 엔진이 다르다 - 웹 브라우저 - 브라우저마다 사용하는 엔진이 다르다 웹 어플리케이션 트랜드 - .. 2024. 1. 30. [SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(60일차) 오늘 학습 주제 1. 위험 평가 및 보호대책 수립 위험 평가 및 보호대책 수립 - 위험분석 및 평가 - 위험도:취약점을 이용하여 위협이 발생하고 그로 인해 자산이 손상을 입게 될 잠재적인 가능성을 수치로 나타낸 것일반적으로 1 ~ 5로 나누어지며공공기관은 1 ~ 3으로 사용 - 위험조치 계획 수립 - 정책 간 연계는 일관성이 있어야 함 정책/지침/절차 등 연계 유지 2024. 1. 26. [SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(59일차) 오늘 학습 주제 1. 전자금융기반시설 취약점 분석 2. 보안컨설팅 전자금융기반시설 취약점 분석평가 - 금융보안 - 새로운 서비스가 개발되면 개발 단계에서부터 보안심의평가(점검)를 진행Anti-Frgile(복원력) - 개요 - 전자금융기반시설의 안전성과 신뢰성을 저해하는 사이버 위협에 대응하기 위해 잠재된 보안 위협을 찾고 이를 개전하기 위한 사전 예방 활동 금융회사 및 전자금융업자는 관계 법령에서 정한 내용에 따라 전자금융 업무를 처리하기 위한 정보처리시스템을 대상으로 취약점을 분석하고 이를 평가 공개용 홈페이지 점검은 연 2회(상하반기) 이상, 전자금융기반시설 점검은 연 1회 이상 평가 - 절차 - [사전분석]평가계획 수립 및 업무 현황 파악 등 [취약점 분석]자산분석, 취약점 분석(체크리스트 기반) .. 2024. 1. 25. 이전 1 2 3 4 5 ··· 17 다음
