STUDY19 [정처기] 9과목 소프트웨어 개발 보안 구축 시큐어 코딩 가이드 총정리 수제비 2022 정보처리기사 실기 교재 개념 정리한 내용입니다. 시큐어 코딩 가이드 : 설계 및 구현 단계에서 잠재적인 보안 취약점을 사전에 제거하고 외부 공격에 안전한 소프트웨어를 개발하는 기법 1. 입력데이터 검증 및 표현 1-1. XSS(cross site script) : 검증되지 않은 외부 입력 데이터가 포함된 웹 페이지가 전송되는 경우, 사용자가 열람하면 웹 페이지에 포함된 부적절한 스크립트가 실행되는 공격 공격 유형 stored XSS : 방문자들이 악성 스크립트가 포함된 페이지 읽어봄과 동시에 실행되면서 감염 reflected XSS : 공격용 악성 URL을 생성한 후 이메일로 사용자에게 전송, 사용자가 클릭 시와 동시에 접속 사이트에 민감정보를 공격자에게 전송 DOM(document ob.. 2022. 10. 19. [정처기] 9과목 소프트웨어 개발 보안 구축 암호화 알고리즘 총정리 수제비 2022 정보처리기사 실기 교재 개념 정리한 내용입니다. 암호 알고리즘(encryption algorithm) : 데이터의 무결성, 기밀성 화보를 위해 정보를 쉽게 해독할 수 없는 형태로 변환하는 기법 주요 용어 평문(plain/plaintext) : 원본 메세지 암호문(cipher/ciphertext) : 암호화된 메세지 암호화(encrypt/encryption/encoding) : 평문을 암호문으로 바꾸는 작업 복호화(decrypt/decryption/decoding) : 암호문을 평문으로 바꾸는 작업 키(key) : 적절한 암호화를 위하여 사용하는 값 치환암호(대치암호, substitution cipher) : 비트,문자,문자의 블록을 다른 비트,문자,블록으로 대체하는 방법 전치암호(tran.. 2022. 10. 19. [정처기] 9과목 소프트웨어 개발 보안 용어 총정리 수제비 2022 정보처리기사 실기 교재 개념 정리한 내용입니다. 보안 관련 용어 스피어피싱(spear phishing) : 사회공학의 한 기법, 특정 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송, 첨부파일(본문링크) 클릭하겧 k여 사용자의 개인정보 탈취하는 공격기법 스미싱(smishing) : 문자메세지를 이용하여 신뢰할 수 있는 사람이나 기업이 보낸 것처럼, 개인 비밀번호나 소액결제 유도하는 피싱공격(사이버 사기) 큐싱(Qshing) : QR 코드(quick response code)를 통해 악성 앱을 내려받도록 유도하여 금융 정보 등 빼내는 피싱공격 봇넷(botnet) : 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태 APT 공격(adv.. 2022. 10. 13. [정처기] 9과목 소프트웨어 개발 보안 구축 시스템 보안위협 총정리 수제비 2022 정보처리기사 실기 교재 개념 정리한 내용입니다. 1. 버퍼 오버플로우(buffer overflow) : 메모리에 할당된 버퍼 크기를 초과하는 양의 데이터를 입력, 프로세스 흐름을 변경시켜 악성 코드 실행시킴 스택 버퍼 오버플로우 공격 : 스택 영역에 할당된 버퍼 크기를 초과하는 양의 데이터 입력, 복귀 주소 변경, 공격자가 원하는 임의 코드 실행 힙 버퍼 오버플로우 공격 : 프로그램 실행 시 동적으로 할당되는 힙 영역에 할당된 버퍼 크기를 초과하는 데이터를 입력, 메모리 데이터와 함수 주소등 변경, 공격자가 원하는 임의의 코드 실행, 인접한 메모리(linked-list)메모리 삭제될 수 있고 특정 함수에 대한 포인터 주소 있으면 악용하여 관리자 권한 파일에 접근하거나 공격자의 특정 코드 .. 2022. 10. 13. 이전 1 2 3 4 5 다음