원글 페이지 : 바로가기
https://velog.io/@dlsdk2526/%EC%A0%95%EC%B2%98%EA%B8%B0-%EC%8B%A4%EA%B8%B0-%EC%9A%94%EC%95%BD-9-%EC%86%8C%ED%94%84%ED%8A%B8%EC%9B%A8%EC%96%B4-%EA%B0%9C%EB%B0%9C-%EB%B3%B4%EC%95%88-%EA%B5%AC%EC%B6%95 정처기 실기 요약 [9] 소프트웨어 개발 보안 구축 SW 개발 보안의 3대 요소 기밀성(Confidentiality) : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성 무결성(Integrity) : 정당한 방법을 따르지 않고서는 데이터가 변경 velog.io 좋은 공부자료를 공유해주시는 분들 감사합니다. SW 개발 보안의 3개 요소 – 기밀성 : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성 – 무결성 : 정당한 방법을 따르지 않고서는 데이터가 변경 될 수 없으며, 데이터의 정확성 및 완전성과 고의/악의로 변경되거나 훼손되지 않음을 보장하는 특성 – 가용성 : 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속해서 사용할 수 있도록 보장하는 특성 Dos_ 공격자 컴퓨터 1개, 직접 공격 – 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 해 사용하지 못하게 하는 공격 Dos 공격 종류 – SYN 플러딩, UDP 플러딩, 스머프/스머핑, 죽음의 핑, 랜드어택, 티어드롭, 봉크/보잉크 DDos_공격자가 여러 대의 컴퓨터를 감염 시킴, 공격 지시 – 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트 공격 DDos 공격 도구 – Trinoo : 많은 소스로부터 통합된 UDP flood 서비스 거부 공격을 유발하는데 사용 – TFN : Trinoo와 비슷한 분산 도구, 많은 소스에서 하나 혹은 여러 개의 목표 시스템에 대해 서비스 거부 공격 – Stacheldraht : 분산 서비스 거부 에이전트 역할 DRDoS – 공격자는 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부가 되는 공격이다. 애플리케이션 공격 – HTTP GET Flooding, Slowloris, RUDY, Slow HTTP Read Dos, Hulk DoS, Hash DoS 네트워크 공격 – 스니핑, 네트워크 스캐너, 스니퍼, 패스워드 크래킹(사전 크래킹, 무차별 크래킹, 패스워드 하이브리드 공격, 레인보우 테이블 공격), IP 스푸핑, ARP 스푸핑, ICMP Redirect, 트로이 목마 시스템 보안 위협 – 버퍼 오버플로우(유형 : 스택 버퍼, 힙 버퍼 / 대응 방안 : 스택가드, 스택쉴드, ASLR) – 백도어 – 주요시스템보안 공격기법 (포맷 스트링 공격, 레이스 컨디션 공격, 키로거 공격, 루트킷) 보안 관련 용어 – 스피어피싱, 스미싱, 큐싱, APT 공격, 공급망 공격, 제로데이 공격, 웜, 악성 봇, 사이버 킬체인 – 랜섬웨어, 이블 트윈 공격, 난독화, Tripwire, Ping, Tcpdump 접근 통제 기법 – 식별, 인증, 인가, 책임추적성 서버 접근 통제 유형 – 임의적 접근 통제, 강제적 접근 통제, 역할 기반 접근 통제 인증 기술 유형 – 지식기반, 소지기반, 생체기반, 특징기반 접근 통제 보호 모델 – 벨-라파둘라 모델, 비바 모델 암호 알고리즘 – 양방향 (대비 비공) – 암호화 = 복호화 – 블록 암호 방식 (DES, AES, SEED, ARIA, IDEA) – 스트림 암호 방식 (LFSR, RC4) – 비대칭키(공개키) – 암호화 != 복호화 – 디피-헬만, RSA, ECC, EIGamal 일방향 – 복호화 불가능 – 해시암호방식(MAC, MDC) : MD5, SHA-1, SHA-256/384/512, HAS-160 IPSec – IP계층에서 무결성과 인증을 보장하는 인증 헤더와 기밀성을 보장하는 암호화를 이용한 IP보안 프로토콜 – 인증, 암호화, 키 관리 프로토콜로 구성 SSL/TLS S-HTTP 개인정보보호 관련 법령 – 민감 정보, 고유 식별정보 입력 데이터 검증 및 표현 취약점 – XSS, 사이트간 요청 위조, SQL 삽입 네트워크 보안 솔루션 – 방화벽, 웹 방화벽, 네트워크 접근 제어, 침입 탐지 시스템, 침입 방지 시스템, 무선 침입 방지 시스템, 통합 보안 시스템, 가상 사설망 시스템 보안 솔루션 – 스팸 차단 솔루션, 보안 운영체제 콘텐츠 유출 방지 솔루션 – 데이터 유출 방지, 디지털 저작권 관리 비즈니스 연속성 계획 – BIA, RTO, RPO, DRP, DRS DRS의 유형 – Mirror Site, Hot Site, Warm Site, Cold Site