본문 바로가기

전체 글

(71)

SQL 인젝션 ✅ 1. 정의SQL Injection은 공격자가 웹 애플리케이션의 입력값에 악의적인 SQL 구문을 삽입하여,애플리케이션이 이를 데이터베이스 명령어로 실행하도록 유도하는 취약점이다.이 취약점을 통해 공격자는 데이터 조회, 수정, 삭제, 인증 우회까지 시도할 수 있다.발생 원인: 입력값을 SQL 쿼리에 직접 연결주요 영향:데이터베이스 구조/내용 유출인증 우회관리자 권한 탈취전체 테이블 삭제 등의 치명적 피해🎯 2. 공격 목적데이터베이스 이름 및 구조 수집테이블 및 컬럼 정보 파악민감 데이터 탈취 (ID/PW, 개인정보 등)웹 애플리케이션 제어 권한 확보🎬 3. 실습 시나리오💻 시나리오 개요:게시판의 검색 기능 또는 주소창 파라미터를 통해 SQL 인젝션 공격 시도주로 UNION SELECT, ORDER ..

운영체제 명령 실행 취약점 ✅ 1. 정의운영체제 명령 실행 취약점은 외부 입력값에 대한 유효성 검증이 부족하거나,개발자가 입력값을 직접 system(), exec(), shell_exec() 등 운영체제 명령 호출 함수에 넘겨줄 경우 발생하는 보안 취약점이다.공격자는 이를 통해 임의의 명령 실행, 권한 탈취, 백도어 설치 등을 시도할 수 있다.주요 원인: 사용자 입력값을 직접 명령어에 삽입발생 환경: PHP, Python, Node.js, Java 등 대부분의 스크립트 언어🎯 2. 공격 목적서버 아키텍처 및 운영체제 정보 수집 (예: uname -a)시스템 명령 실행을 통한 권한 상승파일 다운로드 및 백도어 설치민감 정보 유출 및 시스템 장악🎬 3. 실습 시나리오💻 시나리오 개요:웹 애플리케이션의 주소창에 사용되는 파라미터 ..

버퍼 오버플로우 취약점 ✅ 1. 정의주로 C, C++ 등 메모리 관리를 개발자가 직접 해야 하는 언어에서 발생Stack 기반 오버플로우와 Heap 기반 오버플로우로 분류됨버퍼 오버플로우는 프로그래밍 시 고정 크기 버퍼(메모리 공간)에 데이터가 초과로 입력되어, 인접한 메모리 공간까지 덮어써지는 취약점이다.이로 인해 제어 흐름(예: 리턴 주소, 함수 포인터 등)이 변조되어 공격자가 임의의 코드를 실행할 수 있다.🎯 2. 공격 목적시스템 정보 탈취 (ex: uname -a, id, whoami)셸 획득 (Shell Injection) → 시스템 권한 탈취서비스 거부(DoS) → 메모리 오류 유발백도어 삽입 등 악성 행위 수행🎬 3. 실습 예시 시나리오💻 시나리오 개요:로그인 폼의 ID 입력 필드가 최대 20자 제한버퍼 사이..

프록시 설치(Fiddler Classic) 프록시는 클라이언트와 서버 중간에 위치하면서 클라이언트의 모든 HTTP 요청을 받아 서버에 전달한다.웹 브라우저에서 서버에 어떤값을 보내고, 어떤 응답 값이 왔는지 확인하고 싶을 때 사용한다.DVWA, Mutillidae, WebGoat, Burp Suite 등 실습은 Fiddler로 진행하였으며, 설치방법은 아래와 같다. 1. Fiddler 홈페이지 접속 및 다운로드https://www.telerik.com/download/fiddler Download Fiddler Web Debugging Tool for Free by TelerikDownload and install Fiddler Classic web debugging tool. Watch a quick tutorial to get started...

보안솔루션 분류 https://risc.kisa.or.kr/secSolution/secSolutionIntro.do KISA 지역정보보호센터 홈페이지 - 한국인터넷진흥원KISA 지역정보보호센터, 중소기업 정보보호 컨설팅 제공risc.kisa.or.kr

법적 의무 1. 정보통신망법 침해사고침해사고 시 :24시간 이내, 3천만원 이하의 과태료보전 명령 위반 시 : 2년이하 징역 또는 2천만원이하 벌금자료 제출 아니하거나 거짓 : 1천만원 이하 과태료 2. 개인정보 유출 사고신고기준 : 1천명 이상 / 민감정보or고유식별정보 / 불법접근 ＊1만명이상 개인신용정보(신용정보법)신고기한 : 72시간이내신고내용 : 정보주체에게 통지 / 개인정보 항목과 규모 / 시점과 경위 / 피해 최소화 대책 / 최소화 방법 및 구제절차 / 담당부서담당자 3. 정보보호 공시 자율공시 / 의무공시 :1천만원 이하 과태료공시대상 : 사업분야 - ISP / IDC / 상급종합병원 / 클라우드컴퓨팅 서비스 제공자 매출액 - CISO지정 매출액 3,000억 이상 ..

정보보호 관리의 이해 개인정보보호의 정의 : 개인정보보호법 3조1. 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집2. 목적 외 용도 활용 금지3. 정확성, 완전성, 최신성4. 안전하게 관리5. 열람청구권 등 정보주체 권리 보장6. 사생활 침해 최소화7. 익명 또는 가명8. 정보주체 신뢰 노력 개인정보 판단 기준- 살아있는 자에 관한 정보(사망, 법인, 사물 x)- 개인에 관한 정보(통계 x)- 알아볼 수 있는 형태- 결합할 수 있는 정보정보보호의 목적(목표)목적(목표)정의공격, 피해사례대책기밀성(Confidentiality)인가된 사람만스니핑, 도청, 불법복제, 불법도청암호화, 자산 분류, 방화벽 설정, 접근제어, 독립망 및 가상사설망, 트래픽제어무결성(Integrity)임의로 생성 변경 삭제 불가중간..

일반법과 특별법의 차이 「개인정보 보호법」은 일반법으로서의 지위를 가지며, 특정 분야나 업종에 대해 별도의 특별법이 존재하는 경우, 해당 특별법이 우선 적용됩니다. 예를 들어, 금융 분야에서는 「신용정보의 이용 및 보호에 관한 법률」, 통신 분야에서는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」이 해당 분야의 특별법으로서 우선 적용됩니다. 개인정보보호법정보통신망법법적 성격일반법특별법적용 범위개인정보보호에 관해 다른 법률에 특별한규정이 있는 경우를 제외하고 적용정보통신망 이용촉진 및 정보보호 등에 관한다른 특별한 규정이 있는 경우를 제외하고 적용적용 대상개인정보 처리자(업무를 목적으로 개인정보를 처리하는 기관/법인/단체/개인)정보통신서비스 제공자(영리 목적으로 서비스를제공하는 사업자)※포털, 쇼핑몰, 플랫폼 등보호 대..

이전 1 2 3 4 ··· 9 다음

티스토리툴바