Self-Improvement

취약점 제거는 웹 서비스 제공 환경을 고려하면 다음과 같이 당야한 단계에서 대응이 가능하다 미들웨어 실습환경의 미들웨어는 PHP이다. PHP 에서 제공하는 보안 기능을 이용하면 SQLi 대응에 부분적으로 효과가 있다 Apache 서버의 Custom, Error, Response 활성화 PHP의 Magic_quotes_gpc 설정 활성화 코드레벨 소스코드를 수정하여 대응하는 시큐어코딩 방법으로 취약점의 원인이 되는 보안약점의 근본적인 조치 및 제거가 가능하다 화이트 리스트 키워드 필터링, 데이터 유형 검사, 프리페어드 스테이트먼트 적용 DBMS 데이터베이스에서 제공하는 기능을 이용하여 취약점을 대응하는 방법이다. 주로 저장 프로시저를 이용하며 검증된 안전한 함수를 생성하여 DB질의에 사용한다 저장 프로시저..

Oracle 데이터베이스는 데이터 형식에 가장 민감한 데이터베이스이다. 데이터를 뽑아낼때도 해당 칼럼이 문자형인지 정수형인지 알아낸후 그에 맞게 출력해야함 Mysql, MSsql은 유연적 소스코드 1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 opensecurelab Participants in Employee ID FirstName JOB_ID HireDate Colored by Color Scripter cs - http://192.168.1.46:8080/empinfo_date.jsp?date=2003-06-17 - h..

DB의 스키마 객체 DB의 데이터를 조회하기 위해서는 Select 명령과 테이블과 칼럼 정보가 필요하다. 실제로는 어떠한 테이블, 칼럼이 있는지 알 수 없기에 데이터베이스 제품별로 스키마 객체로 조회가 가능한 형태로 제공하고 있다. 데이터베이스 스키마 데이터베이스에서 자료의 구조, 자료의 표현 방법, 자료 간의 관계를 형식 언어로 정의한 구조이다. 데이터베이스 관리 시스템이 주어진 설정에 따라 데이터베이스 스키마를 생성하며, 데이터베이스 사용자가 자료를 저장, 조회, 삭제, 변경할 때 DBMS는 자신이 생성한 데이터베이스 스키마를 참조하여 명령을 수행한다. 데이터베이스 객체 데이터베이스에서 객체는 테이블, 인덱스, 프로시져, 트리거, 뷰, 시퀀스 등 데이터베이스 내부에서 생성되어 관리되는 모든 대상을 의..

소스코드 1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Colored by Color Scripter cs - http://192.168.1.46/empinfo_id.php?empid=1 - http://192.168.1.46/empinfo_id.php?empid=1' 1 order by 19 - http://192.168.1.46/empinfo_id.php?empid=1%20order%20by%2019 1 order by 20 - http://192.168.1.46/empinfo_id.php?empid=1%20order%20by%2020 1 UNION SELECT 1,2,3,4,5,6,7,8,9,..

캐시 서버의 이용 여러 대의 웹 서버를 설치하는, 즉 같은 기능을 가진 여러 대의 서버를 설치하는 것이 아니라 다른 방법으로 부하 분산을 하는 방법도 있습니다. 이것은 데이터베이스 서버와 웹 서버 같은 역할에 따라 서버를 나누는 방ㅂ버으로, 이러한 역할별 분산 처리 방법 중의 하나가 캐시 서버를 사용하는 방법입니다. 캐시 서버는 프록시라는 구조를 사용하여 데이터를 캐시에 저장하는 서버입니다. 프록시는 웹 서버와 클라이언트 사이에 들어가서 웹 서버에 대한 액세스 동작을 중개하는 역할을 하는데 액세스 동작을 중개할 때 웹 서버에서 받은 데이터를 디스크에 저장해 두고 웹 서버를 대신하여 데이터를 클라이언트에 반송하는 기능을 가지고 있습니다. 이것을 캐시라고 부르며 캐시 서버는 이 기능을 이용합니다. 웹 서버는..

1. 패딩 대칭키 암호 알고리즘은 블록 암호 알고리즘이라고 하기도 한다. 블록 단위라는 말은 특정 크기만큼 잘라서 사용한다는 것을 의미하며 DES 암호는 64비트 단위를 하나의 블록으로 보고 암호화를 수행한다. 그런데 암호화 대상 평문이 64비트 단위로 나눌 수 없는 경우에는 어떻게 암호화를 해야할까? 블록 암호는 블록 단위로만 암호화를 할 수 있는데 이럴 때 블록 단위의 길이가 되도록 원본 평문을 늘려주는 작업을 수행해야 하는데 이러한 과정을 패딩이라고 얘기한다. 암호의 안전성을 더욱 강화하기 위해 사용되며 패딩은 크게 비트 패딩, 바이트 패딩, 제로 패딩으로 나눈다. 2. 비트 패딩 블록의 크기가 8바이트(64비트)고 실제 원문은 5바이느(40비트)라고 하자. 그러면 블록의 크기로 밪추기 위해 3바이..

보호되어 있는 글입니다.

https://nightohl.tistory.com/entry/%EC%9A%B0%EB%B6%84%ED%88%AC%EC%97%90%EC%84%9C-arm-%ED%81%AC%EB%A1%9C%EC%8A%A4%EC%BB%B4%ED%8C%8C%EC%9D%BC-%EB%B0%8F-%EB%94%94%EB%B2%84%EA%B9%85 우분투에서 arm 크로스컴파일 및 디버깅 우분투에서 arm 크로스컴파일 및 디버깅 주의 : arm 종류는 굉장히 다양하고 안드로이드, ios 디바이스 등 여기에 맞게 크로스컴파일 해야함. (ELF 64-bit ARM aarch64, Mach-O 64-bit ARM aarch64 등 디바이.. nightohl.tistory.com /usr/arm-linux-gnueabi/lib/ld-linux..

1. 암호문 단독 공격 (Ciphertext-Only Attack) 공격자가 암호문만 가지고 있는 상황에서 공격하는 유형, 공격자는 암호문 이외의 어떤 정보도 가지고 있지 않기 때문에 공격자 입장에서 가장 어려운 공격 방법입니다. - 가능한 모든 값을 대입해보면 무차별 대입 공격 - 암호문에 쓰인 문자의 빈도수 분석이나 문장의 특성 등을 추정하여 해독하는 방법 2. 알려진 평문 공격(Known-Plaintext Attack) 공격자가 일정 부분의 평문과 이에 대응하는 암호문을 가진 상태에서 공격하는 유형, 공격자는 자신이 가지고 있는 평문과 암호문 이외에는 어떤 정보도 가지고 있지 않지만 암호문 단독 공격보다는 효과적인 공격 유형이다. 3. 선택 평문 공격 (Chosen-Plaintext Attack) ..

1. 해시 함수 해시함수란 임의의 길이를 가진 데이터를 고정된 길이의 데이터로 매핑하는 함수이며 결과값을 해시값이라고 한다. 해시함수는 데이터를 자르거나 치환하거나 위치를 변경하는 방법으로 해시값을 생성하므로 원본 데이터의 정보를 상실하게 되어 생성된 해시값은 원래 데이터로 복원할 수 없습니다. 즉 해시는 일방향성입니다. 해시값은 두 개의 다른 입력값에 대해 특정 확률로 동일한 해시값이 나올 수 있다. 이와 같이 서로 다른 입력값에 대해 동일한 해시값이 나오는 상황을 해시 충돌이라고 부른다. 해시 충돌이 발생하는 특정 확률이라는 것이 매우 작은 값으로 통계적으로 큰 의미가 없다고 볼 수 있다. 128비트 크기의 해시값을 출력하는 해시함수의 경우, 해시 충돌이 발생하는 경우는 1/2^128로 매우 작습니다..