JeongBear WriteUp JeongBear WriteUp

OWASP(Open Web Application Security Project)는 웹 애플리케이션 보안을 강화하기 위해 설립된 글로벌 비영리 단체입니다. 이 단체는 웹 애플리케이션 개발자와 보안 전문가들이 가장 흔히 접하는 보안 취약점을 이해하고 해결할 수 있도록 돕기 위해 'OWASP Top 10'이라는 가이드를 제공합니다. 현재는 2021버전이 최신으로 내년인 2025년에 새롭게 선정될 것으로 예상됩니다. 2021년 기준 top10에 선정된 취약점은 다음과 같습니다.1. Broken Access Control (취약한 접근 제어)사용자가 허가되지 않은 리소스나 기능에 접근할 수 있는 경우를 말합니다. 예를 들어, URL 조작이나 권한 없는 데이터 접근이 이에 해당합니다.방지 방법: 역할 기반 접근 제..

파일 업로드 취약점은 파일 업로드 기능이 제대로 검증되지 않을 때 발생하는 보안 문제입니다. 이를 통해 공격자가 악성 파일을 서버에 업로드하고 실행할 수 있어 시스템 권한 획득, 웹쉘 실행 등 심각한 보안 위협을 초래할 수 있습니다. 종류를 살펴보면 다음과 같습니다 잘못된 파일 검증파일 확장자, MIME 타입, 내용 검증이 미흡하거나 우회 가능한 경우 공격자가 악성 파일을 업로드할 수 있습니다.경로 우회 (Path Traversal)업로드된 파일이 의도한 경로가 아닌 다른 시스템 경로에 저장되게 하는 공격입니다.권한 문제서버가 업로드된 파일에 대한 실행 권한을 부여하면 공격자가 업로드한 파일을 통해 원격 코드 실행이 가능합니다.파일 이름 충돌공격자가 동일한 파일 이름을 업로드하여 기존 파일을 덮어쓰는 상..

SQL 인젝션(SQL Injection)은 공격자가 웹 애플리케이션의 입력 필드를 악용하여 SQL 쿼리를 조작함으로써 데이터베이스에 비정상적인 접근을 시도하는 공격 기법입니다. 이 공격은 데이터 유출, 삭제, 수정, 또는 관리자 권한 탈취 등의 심각한 결과를 초래할 수 있습니다. 취약점: 애플리케이션에서 사용자 입력을 적절히 검증하거나, 쿼리에 직접 삽입할 때 이를 처리하지 않을 경우 발생합니다. 취약한 쿼리:SELECT * FROM users WHERE username = '$username' AND password = '$password'; username에 ' OR '1'='1을 입력하면 쿼리가 다음과 같이 변조:SELECT * FROM users WHERE username = '' OR '1'='..

OSI 7계층(Open Systems Interconnection Model)은 네트워크 통신을 이해하고 설계하기 위해 국제표준화기구(ISO)에서 정의한 모델입니다. 이 모델은 통신 시스템을 계층별로 나누어 각각의 계층이 수행해야 할 역할과 기능을 정의합니다.1. 물리 계층 (Physical Layer)역할: 물리적 연결을 통해 데이터를 전송하는 계층입니다.기능:전기적, 기계적, 기능적 인터페이스를 정의데이터 전송을 위해 케이블, 스위치, 허브 등의 물리적 장치 사용비트(bit) 단위 데이터 전송2. 데이터 링크 계층 (Data Link Layer)역할: 물리 계층에서 받은 데이터를 신뢰성 있게 전달하도록 보장하는 계층입니다.기능:오류 검출 및 수정데이터 프레임 생성 및 흐름 제어MAC 주소를 기반으로 ..

정보보안은 정보와 정보 시스템을 보호하여, 정보의 주요 속성인 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 유지하고 보장하는 활동과 기술, 절차, 정책을 총칭합니다. 1. 기밀성 (Confidentiality)정의: 허가된(인가된) 사용자나 시스템만이 정보에 접근할 수 있도록 보장하는 것을 말합니다.중요성: 민감한 정보가 비인가된 사용자에게 노출되면 데이터 유출 사고가 발생할 수 있습니다.방법: 데이터 암호화, 접근 제어, 사용자 인증 시스템2. 무결성 (Integrity)정의: 정보가 인가되지 않은 방식으로 수정, 삭제, 변조되지 않고 정확하고 일관된 상태를 유지하는 것을 말합니다.중요성: 데이터의 변조나 오류는 의사결정 과정에 심각한 영향을 미..

어학 자격증은 유효기간이 2년이라 졸업요건도 자격증이 유효한 상태여야 한다고 생각했지만 학과사무실에 전화한 결과, 우리 학교는 재학 중에 취득한 후에 따로 학교 사이트에 등록해놓으면 상관 없다고 하였다.그래서 나는 졸업요건을 맞추고자 바로 토익스피킹을 신청하였다. 때는 2022년 7월 시험이였다.그러나 인생은 뜻대로 흘러가지 않는다고 했던가, 원래는 공부 시간이 좀 확보될 것을 예상하고 신청했던 거였는데,그당시에 나는 다른 자격증들 공부, 18학점을 듣고 있는 상태였다보니 시간에 쫓기는 하루하루를 보내고 있었기때문에당연히 토익스피킹을 공부할 시간이 하나도 없었으며, 나는 시험 전날 4시간, 시험 당일 아침 일찍 일어나 2시간 공부하고 시험을 보러 들어갔었다. 공부방법최악의 상황. 먼저 상황을 파악하여, ..

시험정보디지털 포렌식 2급 22회 필기시험시간: 2024년 5월 11일 오후 2시~4시장소: 대전 (서울 or 대전 중에 선택. 대전은 따로 이메일을 보내야 했습니다.)저는전공자이고, 관련 자격증을 소유하여 기술 지식이 어느정도 있는 상태였습니다. (네트워크관리사 2급 등)순공시간: 10시간 디지털 포렌식에 대해 공부하고자 신청하여 응시하게 되었습니다.좀 놀랐던 점은 응시자가 다른 자격증에 비해 적어서 그런지개념, 문제집에 대한 선택권이 없는 정도더군요. 저는 위 사진의 책을 사용하여 공부하였습니다.다 좋았지만 오타가 좀 있고, 풀이가 없으며, 문제와 답만 존재하여 좀 아쉬웠습니다.​저같은 경우 이 책을 사용하여 공부하되, 모르는 것은 직접 개념을 찾아가며 공부하였습니다.​공부해보니 특히 법 파트가 어려..

​AWS Certified Cloud Practitioner (CLF-C01) 교재: 최적합 클라우드 AWS 자격증으로 시작하기 강의: [Amazon] AWS 자격증 프로그램 - 동계 기업-학생제안 비교과 과정 (빅데이터 혁신공유대학) 공부시간: 하루 (순수 공부 시간 14-16시간) 사실 자격증에 유효기간도 있고, 나중에 Security 를 볼 생각을 하고 있었기에, 할 생각이 없었는데2022 겨울방학에 들었던 강의에서 100% 할인 쿠폰을 줘서, 버리긴 아깝고 해서 보았습니다.​하지만 신청하고 얼마 안지나 개인적으로 여러 일들이 발생하여 공부할 시간이 없게 되고결국 벼락치기로 밤샘 공부해서 시험 봤습니다. ㅠ(쿠폰 유효기간, 그리고 개정한다는 소식에 날짜를 다른 날로 미루지도 못하는 상황이라 막막했습..