🎈 Secure 코딩

1) SQL 삽입(SQL Injection)

: 사용자의 입력 값 등 외부 입력 값이 SQL 쿼리에 삽입되어 공격

• 임의로 작성한 SQL 구문을 애플리케이션에 삽입
• 취약점: 주로 웹 어플리케이션과 DB가 연동되는 부분
• DBMS의 종류에 따라 SQL injection 공격 기법이 다름
• SQL Injection을 수행 가능한 경우: 로그인과 같이 웹에서 사용자가 입력 값을 받아 DB SQL문으로 데이터를 요청하는 경우

2) 크로스사이트 스크립트(XSS)

: 검증되지 않은 외부 입력 값에 의해 브라우저에서 악의적인 코드가 실행

3) 운영체제 명령어 삽입

: 운영체제 명령어 파라미터 입력 값이 적절한 사전 검증을 거치지 않고 사용되어 공격자가 운영체제 명령어 조작

4) 자원 삽입

: 자원을 조작할 수 있는 문자열을 접근하여 시스톔이 보호하는 자원에 임의로 접근할 수 있는 취약점

🎈 Secure OS

1) 식별 및 인증
2) 임의적 접근 통제(DAC)
3) 강제적 접근 통제(MAC)
4) 객체 재사용 방지

🎈 IPSec(IP-Security)

1) ESP(Encapsulating Security Payload)

: 발신지 인증, 데이터 무결성, 기밀성 모두를 보장

2) AH(Authentication Header)

: 발신지 호스트를 인증, IP 패킷의 무결성 보장

3) IKE(Internet Key Exchange)

: 보안 관련 설정들을 생성

4) 운영 모드

: Tunnel 모드, Transport 모드