[Computer Science]/[소프트웨어 및 시스템보안]

[Computer Science]/[소프트웨어 및 시스템보안]

[소프트웨어 및 시스템 보안] Set UID

주제 : Set-UID를 통해서 권한을 이행받을 수 있는 프로그램.특권 프로그램의 필요성 비밀번호를 권한이 없는 다른 누군가가 변경 및 읽기 같은 접근을 하지 않기 위해서 리눅스에서는 /etc/shadow 파일에 유저의 비밀번호가 저장된다. 해당 파일은 owner만 읽기 쓰기가 가능하다. 그리고 그 owner는 루트(root)이다. 그렇다면 본인이 맞는 일반 유저의 경우에는 어떤 방식으로 해당 파일에 접근하여 비밀번호를 변경할 수 있을까? 2단계 접근 방식접근 관리는 2가지 이다. (접근은 파일 접근, 시스템 메모리 접근 그런 것들을 통틀어서 말한다.)Fine-grained Access Control by Privileged Program-특권 프로그램을 이용하여 섬세하게 쪼개진 권한 제어Generic ..

[Computer Science]/[소프트웨어 및 시스템보안]

[소프트웨어 및 시스템 보안]

컴퓨터 보안에 대하여컴퓨터 보안에서의 Threat(위협)은 소프트웨어의 버그 및 취약점을 악용할 가능성이 있는 위험요소를 말한다.(Wikipedia 내용 번역) 여기서 취약점(Vulnerability)은 소프트웨어 내에서 예기치 못하게 생성된 버그이다. 예를 들어 로그인 하지 않고 접근이 가능하거나 권한이 없는 코드 실행, 컴퓨터 시스템 파괴에 대한 것들이다. (Set UID를 통해서 얻어진 권한을 이용한 느슨한 설계 악용, 백엔드 시스템에서의 허점 발견-SQL Injection 과 같은 것을 생각할 수 있다.) 악용(Exploit)은 버그가 있는 프로그램이 취약점을 이용하는 것에 대한 입력이다. Threat Model공격자와 방어자의 능력을 정의하는 것으로 공격 가능한 것들을 확인, 중요한 것들에 대한..

DevCat_
'[Computer Science]/[소프트웨어 및 시스템보안]' 카테고리의 글 목록
상단으로

티스토리툴바