주제 : Set-UID를 통해서 권한을 이행받을 수 있는 프로그램.특권 프로그램의 필요성 비밀번호를 권한이 없는 다른 누군가가 변경 및 읽기 같은 접근을 하지 않기 위해서 리눅스에서는 /etc/shadow 파일에 유저의 비밀번호가 저장된다. 해당 파일은 owner만 읽기 쓰기가 가능하다. 그리고 그 owner는 루트(root)이다. 그렇다면 본인이 맞는 일반 유저의 경우에는 어떤 방식으로 해당 파일에 접근하여 비밀번호를 변경할 수 있을까? 2단계 접근 방식접근 관리는 2가지 이다. (접근은 파일 접근, 시스템 메모리 접근 그런 것들을 통틀어서 말한다.)Fine-grained Access Control by Privileged Program-특권 프로그램을 이용하여 섬세하게 쪼개진 권한 제어Generic ..
컴퓨터 보안에 대하여컴퓨터 보안에서의 Threat(위협)은 소프트웨어의 버그 및 취약점을 악용할 가능성이 있는 위험요소를 말한다.(Wikipedia 내용 번역) 여기서 취약점(Vulnerability)은 소프트웨어 내에서 예기치 못하게 생성된 버그이다. 예를 들어 로그인 하지 않고 접근이 가능하거나 권한이 없는 코드 실행, 컴퓨터 시스템 파괴에 대한 것들이다. (Set UID를 통해서 얻어진 권한을 이용한 느슨한 설계 악용, 백엔드 시스템에서의 허점 발견-SQL Injection 과 같은 것을 생각할 수 있다.) 악용(Exploit)은 버그가 있는 프로그램이 취약점을 이용하는 것에 대한 입력이다. Threat Model공격자와 방어자의 능력을 정의하는 것으로 공격 가능한 것들을 확인, 중요한 것들에 대한..
6회차 목표 : 웹 공부 일정 : 7/22 6회차 공부 내용 : 개발 기술 스택, 프로젝트 기술 스택 선정 프로젝트를 하게 될 때, 고려할 것들이 있으며 그러한 고려점을 토대로 적절한 기술 스택으로 구현하는 것이 좋다. 물론 자신있는 것으로 구현하면 좋지만 이후에 좋은 개발자가 되기 위해서는 프로젝트의 구현에 필요한 것들을 적재적소로 사용하는 능력이 중요하니 기술 스택에 대해서 공부를 했다. 어플리케이션의 배포 및 컴파일, 유용한 API 활용, 하드웨어 연동, 보안 등등의 고려점이 있다. 데이터베이스- 데이터 베이스의 수직적 그리고 수평적 확장수직적 확장은 기존 기계에 더 많은 성능 자원(CPU, RAM 등)을 추가하여 확장.수평적 확장은 더 많은 기계를 추가하여 확장하는 것. 데이터베이스의 수평적 ..
5회차 목표 : 모의 해킹 및 시나리오 공부 일정 : 7/19 5회차 공부 내용 : 정보 보안 취약에 대한 종류 및 시나리오 조사해킹으로 인한 시나리오들을 찾아보고, 어떤 전략을 취하는 지 공부하면서 정보 보안의 기틀을 잡도록 하였다. 공격의 종류SQL Injection & Code InjectionXSSDenial of Service[Dos] (그리고 Distributed Denial of Service [DDos])MalwarePhishingDNS SpoofingZero-Day AttackSQL Injection은 프로그램 및 웹 입력창에 SQL문을 작성하여 의도적으로 서버 데이터의 접근할 수 있는 것이다. Code Injection도 비슷한 양상으로 어떤 방식으로 코드를 삽입-실행시켜 본 의도와는 ..
4회차 목표 : 웹프로그래밍 관련 토대 공부 일정 : 7/15 4회차 공부 내용 :오늘은 웹 프로그래밍의 기술 스택에 대해서 공부하면서 자료 조사하고, 이전에 썼던 블로그 게시글을 좀 더 보완하였다. https://hajm0702.tistory.com/120 [웹 개발] Front 두 번 째 발자국 - Node.js, React, Express 이런 게 뭔데?프론트 개발을 할 때 뭐가 뭔지 / 뭘 공부해야할 지모르는 경우가 많아서 공부하는 데 어려움을 겪는다. (시작이 반인데 반을 못 하게 주저하게 된다.) 그러니 효율적으로 지금 당장 시작할 수hajm0702.tistory.com 보완 내용 :프론트엔드 개발 언어로 작성 시 : TypeScript.-자바 스크립트로도 충분히 좋지만, 타입 스크립트 개발..
3회차 목표 : 웹 프로그래밍 공부 : HTML 일정 : 7/11 :00~:00 3회차 공부 내용 : HTML은 웹 페이지라는 문서에 마크업을 하기 위한 언어 또는 구문이다. HTML은 1989~1990년에 학술 논문의 구조 설명을 돕고 초기 인터넷에 그 내용을 공유하기 위해 탄생한 언어이다. -논문의 특별 서식을 생각하자. 특히 브라우저는 웹 페이지를 불러올 때,(HTTP 생각) HTML, CSS, Javascript가 포함된 반응을 어딘가의 서버로부터 받는다. 그저 텍스트에 불과하지만 이건 브라우저가 알아야 할 모든 페이지의 구조와 규칙이 들어있다. HTML이 규칙을 알기 때문에 이런 화면이 나온다. 논문에서 HTML이 탄생. HTML 요소로 꽤 많은 요소가 있다. 이미지, 양식 요소, 링크 요소..
2회차 목표 : 정보 보안 공부 일정 : 7/7 2회차 공부 내용 :시장에서 흔히 말하는 보안 전문 분야는 기술적으로 보면 대략시스템, 네트워크, 웹, 리버스 엔지니어링 정도로 구분된다. 이는 드림 핵 사이트에서도 알 수 있다.사진 우측에 화살표를 누르면 클라우드까지 있다. 시스템은 운영체제 및 애플리케이션 설정 등과 관련한 분야.네트워크는 네트워크 장비 설정과 네트워크 보안 장비와 관련된 분야.웹은 웹 서비스 및 웹 소스 코드의 취약점과 관련된 분야.리버스 엔지니어링은 애플리케이션 소스 코드와 관련된 취약점과 관련된 분야. 관리 쪽 보안 전문가는 정책 Policy, 거버넌스 등과 관련한 사항을 다룬다. 시스템에서 WEB, WAS, DB, 기타 Application 서버, 모바일, PC네트워크에서 네트워..
1회차 목표 : 정보 보안 공부 시작 일정 : 7/4 :00~:00 1회차 공부 내용 :정보 보안 개론 책을 이용해서 공부. 서점에서 구매하여 공부 시작. 서론으로 챕터 1, "정보 보안의 세계"를 공부하였다. 정보 보안의 역사 1918년 폴란드의 암호 보안 전문가들이 개발한 애니그마"Enigma". 이는 평문의 메세지를 암호화된 메세지로 변환하는 장치로 은행의 통신 보안 강화를 위해 개발이 되었었다. 하지만 2차 세계 대전에서 독일군의 군사 통신 보안용으로 사용된 것이 보안의 시작이다. 이 에니그마를 해독한 것은 최초의 컴퓨터인 콜로서스"Colossus"이다. 영국의 앨런 튜링이 1943년 12월에 개발한 콜러서스로 1946년 2월에 공개된 에니악보다 먼저 나오게 됐다. 최초의 해커이자 AI의 개..
