기록하는 공부

문제 풀이 사이트사이트 간략 소개 아래 사이트는 SQL Injection을 풀이할 수 있는 문제 사이트로 순차적으로 풀이하는 사이트이다.SQL Injection 문제풀이를 원하는 경우 추천한다. https://los.rubiya.kr/  Lord of SQLInjection los.rubiya.kr  사이트 회원가입/로그인 절차 1. 메인 페이지에서 [enter to the dungeon]을 클릭한다.  2. "Join"을 누르고 회원가입을 진행한다.     id, email, pw만 입력하면 가입 완료가 된다.  3. 회원가입을 완료한 이후 id, pw를 입력하여 로그인을 진행한다.  4. 풀이가 가능한 SQL Injection 문제들이 있으며, 위에서부터 순차적으로 풀이를 진행할 수 있다.      ..

뉴스 요약 18년 만에 공공망 분리 제도 변경 예정기존: 외부 인터넷망과 내부 업무망을 분리해 사용 -> 업무 효율이 떨어지고 데이터를 옮기는 것 어려움변경예정: 데이터 중요도에 따라 내·외부망을 논리적으로 분리하거나 보안 시스템이 제대로 작동되는 조건에서 외부 접근을 허용해 주는 방식 등이 허용될 예정기대효과: 공공 데이터를 활용한 인공지능(AI) 서비스 개발 활발, 클라우드 보안 등 정보보호 서비스 수요 증가       리뷰 망분리: 외부 인터넷망과 내부 업무망을 분리하는 것구분단일망(망분리x)논리적 망분리물리적 망분리개념1개의 PC를 외부망과  내부망에서 자유롭게 사용하는 방법 물리적인 네트워크는 하나지만, 소프트웨어적으로 네트워크를 분리하는 방법 별도의 물리적 장비를 사용해 내부망과 외부망을 완..

CSLF Injection HTTP 메시지에서는 줄 바꿈을 나타내기 위해서 CR(Carriage Return ,\r)과 LF(Line Feed, \n)라는 특수문자를 사용한다. 이 특수문자를 묶어 CRLF와 같이 함께 사용하는데 CRLF는 메시지의 각 라인이 끝임을 알려주는 중요한 구분자가 된다. 특히, HTTP 메시지에서 헤더와 바디가 구분될 때 빈 줄에는 CRLFCRLF처럼 CRLF가 두 번 사용된다. 이름 아스키 코드 URL 인코딩 문자 CR( Carriage Return) ASCII 13 %0D \r LF(Line Feed) ASCII 10 %0A \n CSLF 인젝션 정의 CRLF 인젝션 : 악의적인 사용자가 웹 애플리케이션에 특수한 개행 문자를 삽입하여 웹 서버와 클라이언트 간의 통신 흐름을 ..

점검내용 숨김 파일 및 디렉터리 내 의심스러운 파일 존재 여부 점검 점검목적 숨겨진 파일 및 디렉터리 중 의심스러운 내용은 정상 사용자가 아닌 공격자에 의해 생성되었을 가능성이 높음으로 이를 발견하여 제거함 보안위협 공격자는 숨겨진 파일 및 디렉터리를 통해 시스템 정보 습득, 파일 임의 변경 등을 할 수 있음 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 ■ 판단기준 양호 : 불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 삭제한 경우 취약 : 불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 방치한 경우 ■ 조치방법 : ls –al 명령어로 숨겨진 파일 존재 파악 후 불법적이거나 의심스러운 파일을 삭제함 점검 및 조치 사례 OS별 점검 파일 위치 및 점검 방법 ..