Today I Learned …

* 개인적인 공부 내용을 기록한 글입니다. 2강 정리 : 정보보호관리의 개념 C.I.A Triad [1] 기밀성(C) [2] 무결성(I) [3] 가용성(A) 2010년부터 행정기관은 정보보호관리 시스템(ISMS) 인증을 의무적으로 받아야 한다. 망법 제 27조, 개보법 제 32조 2에 근거 ISMS-P = ISMS(정보보호관리) + 개인정보보호 ⇒ 2018년 11월 7일부터 시행 정보보호 관리와 정보보호 대책 ★★★★★ 0계층 : 데이터 1계층 : 기술적 보호대책 2계층 : 물리적 보호대책 3계층 : 관리적 보호대책 기술적 보호대책 : 암호화, 접근통제, 백업체제 물리적 보호대책 : 자연재해 대책(화재, 수해, 지진, 태풍), 물리적 보안대책(출입통제, 시건장치) 관리적 보호대책 : 정책, 표준, 지침(..

* 개인적인 공부 내용을 기록한 글입니다. PART 01 정보보호 개요 : 단원 개관 Ⅰ. 정보보호의 목표 기밀성(C), 무결성(I), 가용성(A), 인증, 부인방지, 책임추적성(Log) * 인증 : 사용자 인증, 메시지 인증 Ⅱ. 소극적 공격 vs 적극적 공격 소극적 공격 : Eve 적극적 공격 : Malory Ⅲ. 정보보호대책 관리적 보호대책 : 정책 물리적 보호대책 : 담장, 열쇠 기술적 보호대책 : 암호화 Ⅳ. 시점별 통제 * 시간순서 : 예방 → 탐지 → 교정 1강 정리 : 정보보호관리의 개념 정보사회의 특성 미래전쟁의 양상 = 정보전쟁 사이버 전쟁 : 북한 해커 7000명 육성 stuxnet : 원자력 발전소 등 제어 시스템 침투 재택근무↑ ⇒ 비대면성↑ ⇒ VPN 중요해짐 VPN (= Vir..

* 개인적인 공부 내용을 기록한 글입니다. OT 정리 1. 출제 경향을 파악하라 [1] 필기 : 모든 영역에서 편중되어 출제되므로 폭넓게 공부해라 [2] 실기 : 자주 출제되는 영역을 파악하고, 자신의 강점을 찾아라 2. 필기 준비때부터 실기를 대비하라 [1] 필기와 실기는 동일 시험 영역이다. (객관식과 주관식 차이) ⇒ 목표 : 필기 80점, 실기 60점대 후반 [2] 직접 쓰는 연습을 많이 해야 한다. [3] 정보처리기사 아닌 정보보안기사 같이 공부해라. 3. 1200제 보다는 이론서에 더 집중하라 [1] 필기 이론서는 실기 준비 때도 필요하다. [2] 이론서 다독은 최종 합격시간을 단축한다. 이외. 동영상 수강 시 유의사항 [1] 전달사항은 동영상 메인화면 보기 [2] 첨부파일은 모아서 1강에 업..

* 「IoT와로보틱스」 수업 교안을 바탕으로 합니다. Python & Minecraft : 연결 방법 총 정리 1. 전제 이 포스팅은 Windows10과 Windows PowerShell을 기준으로 작성되었다. 2. 요약 Python으로 Minecraft를 조작하기 위해서는 다음의 과정을 모두 거쳐야 한다. [1] Java 설치 [2] Spigot 설치 [3] Py3minepi & Raspberryjuice 설치 [4] Minecraft Java Edition 구매 및 설치 [5] Minecraft-Spigot 연결 및 게임 내 설정 Java 설치 1. Java 설치 과정 [1] Java가 이미 설치되어 있는지 확인한다. ⇒ $ java -version [2-1] 이미 설치되어 있다면 Java의 버전 정..

* 개인적인 공부 내용을 기록한 글입니다. 사담 뭔가를 '두루뭉술'하게 알고 있다는 사실 만큼 자신감을 깎는 것도 없을 것 같다. 들으면 대충 뭔지는 아는데... 일목요연하게 설명은 못하겠고... 결국 '제대로'는 모르고 있는 것이다. 이런 것들이 정말 많지만 하나씩 확실히 정리하다보면 거품 같았던 주변 지식에 조금씩 윤곽이 잡히는 것 같다. 설명 오늘은 DOM과 DOM 관련 개념들에 대해 의식의 흐름 순으로(..) 공부해본다. DOM 관련 기초 개념 DOM의 사전적 정의 문서 객체 모델 (The Document Object Model, DOM) 은 HTML, XML 문서의 프로그래밍 인터페이스다. * 인터페이스 : 상호 간의 소통을 위해 만들어진 물리적 매개체나 프로토콜 DOM의 종류 W3C DOM 표..

* 개인적인 공부 내용을 기록한 글입니다. Burp Suite (버프 스위트) Burp Suite Proxy 서버를 만들어 패킷 분석 및 조작을 도와주는 프로그램이다. 웹 취약점 점검 시 자주 사용된다. Proxy 사전적 의미는 대리, 대리인이다. 클라이언트와 웹 서버 사이에 껴서 데이터를 중계해주는 역할을 한다. 클라이언트 → 프록시 서버 → 웹 서버 클라이언트가 웹 서버에 접속하기 전에 프록시 서버라는 곳을 거쳐가게 되고, 따라서 프록시 서버에서는 클라이언트와 웹 서버간의 요청/응답 패킷을 살펴보거나 변조하는 것이 가능하다. Burp Suite의 기능 Dashboard 자동화된 활동을 한 눈에 모니터링하고 제어할 수 있다. Target 타겟 애플리케이션에 대한 자세한 정보를 확인할 수 있다. 현재 작..

* 개인적인 공부 내용을 기록한 글입니다. * 「화이트 해커를 위한 웹 해킹의 기술」을 참고합니다. XSS (Cross-Site Scripting) XSS란? 크로스 사이트 스크립팅 공격은 공격자가 악의적인 스크립트를 웹 애플리케이션에 삽입한 후 웹 사용자의 웹 브라우저에서 해당 스크립트가 실행되도록 만드는 공격이다. 다른 공격들과의 차이점 다른 공격들은 취약점을 갖고 있는 서버측을 공격하지만 XSS는 서버의 취약점을 이용하여 클라이언트측을 공격한다. XSS의 종류 기준 : 공격자가 삽입한 스크립트 코드가 언제 실행되는지에 따라 구분된다. 1. Stored XSS : 서버에 저장 2. Reflected XSS : 서버에서 반사 3. Dom Based XSS : 클라이언트 측에서 조립 XSS의 주요 사례 ..

* 해당 주차의 수업 내용을 정리합니다. + 모의해킹 연봉 > 회사 : 3000 - 3500 -> 200 - 250 > 3년 : 중급 프리랜서 : 700 - 1000 보안 담당자 컨설팅 사업 * SQLi docker FLAG, 풀이 CTF : Capture The Flag * XSS - Stored XSS - Reflected XSS - DOM Based XSS XSS * Bug Bounty > 같은 취약점도 위처럼 달랑 쓰면 100만원, 시나리오 형식으로 제시하면 1000만원일 정도로 중요함 * XSS 어떻게 막을 수 있을까? (스터디원들 조사) > 입출력 HTML Entity 전환 필터링 > White List XSS 필터링 > 보안 라이브러리 사용 > Black List 기반 필터링 > 보안 정책 ..

* 해당 주차의 수업 내용을 정리합니다. # 0) 리뷰 — SQL Injection 정리 > 원리, 시나리오, 대응방안 - SQL Injection 기법 > Union SQL Injection > Error Based SQL Injection > Blind SQL Injection ++ Blind SQL Injection 응답이 다르게 나오는 것이 에러 페이지여도 상관없음. [Payload Example] sotingAd=,(case+when+ascii(substr((select+user+from+dual),1,1))=0+then+1+else+(1/0)+end) ++ Time Based SQL Injection [Payload Example] page=1&board_id=&sorting=A.REG_DT&..

* 개인적인 공부 내용을 기록한 글입니다. 설명 주소 검색 기능을 구현하는 과정은 크게 둘로 나눌 수 있다. [1] 주소 DB 구축 [2] 회원가입 시 주소 검색 로직 구현 이번 포스팅에서는 주소 검색 로직 구현 부분을 다룬다. 예시 주소는 실제 주소가 아니다. 최종 화면 주소 검색 로직 구현 0-1. 전제 [1] 회원정보 테이블 (= member) 에 주소가 들어갈 address 컬럼을 생성해준 상태이다. 0-2. 요약 [1] join.php에 주소 기입란을 만들어준다. [2] 주소 검색창을 출력할 address.php를 만들어준다. [3] 주소 검색을 실질적으로 처리할 address_ok.php를 만들어준다. [4] 상세 주소 기입란을 출력할 detail.php를 만들어준다. [5] 전체적으로 연결 ..

* 개인적인 공부 내용을 기록한 글입니다. 사담 드디어 주소 DB! 이제 개발은 진짜 끝이다. 설명 주소 검색 기능을 구현하는 과정은 크게 둘로 나눌 수 있다. [1] 주소 DB 구축 [2] 회원가입 시 주소 검색 로직 구현 이번 포스팅에서는 API를 사용하지 않고 주소 DB를 구축하는 방법에 대해 다룬다. 주소 DB 구축 (MySql) 1. 우정사업본부 홈페이지 (= koreapost.go.kr) 에서 주소 DB를 다운받는다. [1] 메인화면 > 정보공개 > 우정데이터 제공센터 [2] 우편데이터 제공 목록 > 우편번호DB [3] 우편번호 DB란? > 우편번호 DB파일 바로가기 [4] 고시파일 내려받기 > 지역별 주소 DB > 받기 2. 다운받은 zipcode_DB의 압축을 풀고 각 파일의 이름을 숫자로..

* 개인적인 공부 내용을 기록한 글입니다. 사담 웹개발 복기도 거의 막바지에 다다랐다. 구현은 한꺼번에 하고 기록은 사후적으로 남기려고 하니 어쩔 수 없이 귀찮은 부분도 있었지만 누적 복습에는 제법 효과적이었던 것 같다! 설명 오늘은 게시글 검색 기능에 대해 다뤄본다. 기간 설정 기능을 포함한다. 최종 화면 게시글 검색 기능 0. 요약 [1] board.php에 검색창을 만들어준다. [2] 검색 과정을 실질적으로 처리하고 검색 결과를 출력할 search.php를 만들어준다. 1. 다음은 board.php에 추가할 내용이다. 제목 내용 작성자 ~ [1] 검색창을 만들어주는 과정이다. [2] method는 get으로, action은 search.php로 넘겨준다. [3] 와 태그를 이용해 검색 카테고리 설정..