기록하는 공부

CSLF Injection HTTP 메시지에서는 줄 바꿈을 나타내기 위해서 CR(Carriage Return ,\r)과 LF(Line Feed, \n)라는 특수문자를 사용한다. 이 특수문자를 묶어 CRLF와 같이 함께 사용하는데 CRLF는 메시지의 각 라인이 끝임을 알려주는 중요한 구분자가 된다. 특히, HTTP 메시지에서 헤더와 바디가 구분될 때 빈 줄에는 CRLFCRLF처럼 CRLF가 두 번 사용된다. 이름 아스키 코드 URL 인코딩 문자 CR( Carriage Return) ASCII 13 %0D \r LF(Line Feed) ASCII 10 %0A \n CSLF 인젝션 정의 CRLF 인젝션 : 악의적인 사용자가 웹 애플리케이션에 특수한 개행 문자를 삽입하여 웹 서버와 클라이언트 간의 통신 흐름을 ..

접근통제 모델 시스템 또는 네트워크에 대한 무단 접근을 제한하고 통제하기 위해 설계된 구조나 방법을 말한다. 이 모델은 인가된 사용자만이 시스템 또는 데이터에 접근할 수 있도록 보장하여 불법적인 접근을 막는 역할을 한다. 임의적 접근통제(DAC, Discretionary Access Control) 사용자나 그룹의 신원을 기준으로 객체에 대한 접근을 제한하는 방법 객체의 소유자는 다른 주체에 대해 객체에 대한 접근 권한 설정 가능 -> 객체의 소유자가 접근 여부를 결정 하나의 주체마다 객체에 대한 접근 권한을 부여 접근제어 행렬, 자격목록, 접근제어 목록이 있다. 리눅스, 윈도우, 유닉스 등 대부분의 OS에서 사용 ■ 장점 객체별로 세분화된 접근제어가 가능 (융통성) 특정 주체가 다른 주체에 대해 임의적..

컴플라이언스란? 영어사전 정의로 컴플라이언스는 준법 감시이다. 좀 더 풀어서 설명하자면, 사업 추진 과정에서 기업이 자발적으로 관련 법규를 준수하도록 하기 위한 일련의 시스템을 일컫는 말이다. 보안 컴플라이언스는 조직이 정부 규정, 산업 표준, 법률, 규제, 업계 요구 사항 등과 같은 외부 규정을 준수하는 것을 의미하며, 이는 조직이 정보 보호와 개인정보 보호를 포함한 보안 관련 사항에서 법적 요구 사항을 충족시키는 것을 의미한다. 보안 컴플라이언스는 조직의 안전성을 강화하고 데이터 무결성을 보장하여 기업과 사용자의 신뢰를 유지하는데 중요한 역할을 한다. 특히 개인정보 보호와 관련하여 정부 규제가 강화되면서, 기업은 개인정보를 적절히 보호하고 처리하는데 더 많은 주의를 기울여야 한다. 보안 컴플라이언스는..

subdomain Takeover(서브 도메인 탈취) subdomain Takeover의 정의 및 발생 상황 subdomain takeover은 직역 그대로 서브도메인 탈취를 말한다. 이는 웹 애플리케이션에서 발생하는 취약점 중 하나이며, 서브도메인은 기업이나 조직의 웹 사이트를 식별하는 데 사용된다. 예를 들어, "example.com" 도메인의 블로그 페이지를 가리키는 페이지의 주소로 "blog.example.com"을 사용해 서브도메인인 blog를 사용할 수 있다. 서브도메인 탈취는 사용되지 않는 서브도메인의 제어를 획득하여 공격자가 그 서브도메인을 이용하여 사용자를 대상으로 하는 공격을 수행한다. 일반적으로 서브도메인 탈취는 아래와 같은 상황에서 발생할 수 있다. 먼저, 사이트 소유자가 서비스를 ..