보안 기출 풀어봤는데 장마다 장마 허허
PGP
Pretty Good Privacy의 약자로, 컴퓨터 파일을 암호화하고 복호화하는 프로그램
SAM / SRM / SID / LSA
- SAM(Security Account Manager): 윈도우 운영체제에서 사용자 계정 데이터베이스를 관리하는 시스템 구성 요소
- SRM(Security Reference Monitor): 파일이나 디렉토리에 대한 접근 여부 결정, 감사메시지 생성, 인증 사용자에게 SID 부여
- SID(Security Identifier): 각 사용자나 그룹에 부여되는 고유학 식별 번호
- LSA(Local Security Authority): 모든 계정 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사 (로컬 및 원격 로그인 포함)
디렉토리 인덱싱 취약점
웹 어플리케이션을 사용하고 있는 서버의 미흡한 설정으로 인해 인덱싱 기능이 활성화 되어 있을 경우, 공격자가 강제 브라우징을 통해 서버내의 모든 디렉토리 및 파일에 대해 인덱싱이 가능하여 웹 어플리케이션 및 서버의 주요 정보가 노출될 수 있는 취약점
SQL Injection
공격자가 애플리케이션의 SQL 쿼리를 조작하여 데이터베이스를 무단으로 조작하는 공격 기법
대응 방법
- ORM 사용(Hibernate) : SQL을 직접 다룰 일이 줄어든다
- 웹 방화벽 적용
XSS(Cross Site Scripting)
게시판이나 웹 메일 등에 자바 스크립트와 같은 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동하게 하는 공격
- Reflected XSS: 가장 일반적인 유형으로 공격자가 입력한 스크립트가 즉시 실행되는 공격
- Stored XSS: 스크립트가 서버의 데이터베이스에 저장되는 형태의 공격
- DOM based XSS: 공격자가 공격 스크립트가 담긴 DOM을 작성 또는 수정한 후 다른 사용자가 해당 페이지를 열어보게 하여 실행되는 공격
CSRF
크로스 사이트 요청 위조 (Cross Site Request Forgery)
웹 보안 취약점 중 하나로, 인증된 사용자가 자신의 의지와는 무관하게 웹 애플리케이션에 공격자가 의도한 특정 요청을 보내도록 유도하는 것
참조 모니터
참조 모니터는 보안 커널 내에서 동작하는 개념적인 구성 요소로, 주체가 객체에 접근할 때 접근 통제를 수행하는 핵심 메커니즘
주요 특징
- 모든 접근 요청을 검사해야한다
- 변경할 수 없도록 보호되어야 한다
- 검증 가능해야 한다
CVSS / CVE / CWE / NVD
- CVSS 공통 취약점 등급 시스템(Common Vulnerability Scoring System) 소프트웨어 취약점의 특성과 심각도를 파악하는 데 도움이 되는 개방형 프레임워크
- CVE(Common Vulnerability and Exposures) 공개적으로 알려진 컴퓨터 보안 결함 목록 = 취약점 리스트
- 취약점: 해커가 시스템이나 네트워크에 액세스하기 위해 직접 사용할 수 있는 소프트웨어의 실수(mistake)
- CWE(Common Weakness Enumeration) 개발 단계에서 발생 가능한 취약점
- 보안약점: 소프트웨어 취약점으로 이어질 수 있는 오류
- NVD(National Vulnerability Database) 미국 정부에서 운영하는 취약점 데이터베이스
TPM
신뢰 플랫폼 모듈(Trusted Platform Module)
안전한 부팅, 키 관리, 데이터 보호 등 다양한 보안 기능을 제공하는 하드웨어 보안 칩
구성요소
- PCR(플랫폼 구성 레지스터)
- RSA 키 생성기
- SHA 해시 생성기
- 난수 발생기
- 암복호화 엔진
보안. 당황스럽다. 굉장히.
