TCP/IP 4계층 L4 응용 계층 L3 전송 계층 L2 인터넷 계층 L1 네트워크 엑세스 OSI 7계층 L7 응용 계층 L6 표현 계층 L5 세션 계층 L4 전송 계층 L3 네트워크 계층 L2 데이터링크 계층 L1 물리 계층

크리덴셜 스터핑 (Credential stuffing) 공격자가 이미 확보한 크리덴셜(로그인 정보 등 개인 신상과 관련해 암호화한 정보)을 다른 계정들에 마구대입하는 방식으로 이용자 정볼르 침해하는 행위

이메일 프로토콜 SMTP : TCP 25번 포트 POP3 : TCP 110번 포트 IMAP4 : TCP 143번 포트 보안프로토콜 PEM(Privacy Enhanced Mail) IETF에서 채택한 기밀성, 무결성, 부인방지를 지원하느 이메일 보안 기존 전자우편 프로토콜을 이용하여 보안을 위한 정보를 추가해서보냄 구현의 어려움으로 많이 사용되지 않으며 군사용 시스템 등에서 드물게 사용 PGP(Pretty Good Privacy) Phil Zimmermann이 개발한 대표적인 전자우편 프로토콜 전자서명을 이용해 인증을제공 대칭 블록암호를 이용해 기밀성을 제공 ZIP알고리즘으로 압축 부호화를 이요해 전자우편 호환성을 제공 단편화 조립을 통해 길이가 긴 전자우편 데이터를 전송 S/MIME(Secure Mult..

2021년 3월 8일부터 업그레이드된 미국 주식 서비스를 제공 1. 무료 실시간 시세 시비스 2. 저녁 6시부터 미국주식 거래 (프리마켓 거래시간 확대) 3. 아침 7시까지 미국주식 거래 (애프터마켓 거래 서비스 시작) 한투도 애프터마켓 거래가 가능하네요 이번 미국주식 거래 서비스로 다른 증권사에서 이전을 하지 않을까 하네요 ㅎ

Xferlog FTP 등을 통해 파일이 전송된 기록이 저장된 로그 파일 # more xferlog Thu May 17 11:54:41 2018 6 file.test.kr 1234567 /home/user/test1.mp3 b _ i r itwiki ftp 0 * c Thu May 17 11:54:42 2018 7 file.test.kr 1234567 /home/user/test2.mp3 b _ o r itwiki ftp 0 * c 전송 날짜와 시간 : Thu May 17 11:54:42 2018 전송 시간(초) : 6 원격 호스트 주소 : file.test.kr 전송된 파일크기 : 1234567 전송 파일명 : /home/user/test1.mp3 파일유형 : b [ a = ascii(문자) b = bi..

침입탐지 시스템 IDS(Intrusion Detection System) False Positive(오탐) : 정상적인 접근을 비정상적인 접근이라 잘못 판단 False Negative(미탐) : 비정상 접근을 정상이라고 잘못 판단 실행 단계 데이터 수집 데이터 가공 및 축약 침입 분석 및 탐지 보고 및 대응 침입차단시스템 IPS(Intrusion Prevention System) 기본 적으로 IDS와 모든 메커니즘이 동일 자동으로 차단하는 기능이 있냐 없냐의 차이 IDS vs IPS 구분 IDS IPS 주요목적 Passive Active 침입 여부의 탐지 목적 침입 이전 방지 목적 분석방법 알려진 공객 패턴 Rule DB 기반

CSRF (Cross-Site Request Forgery) 크로스사이트 요청위조 특정 웹사이트에 대해서 사용자가 인지하지 못한 상황에서 사용자의 의도와는 무관하게 공격자가 의도한 행위를 요청하게 하는 공격 보안대책 입력폼 작성시 GET방식보다는 POST방식을 사용 입력처리 프로그램 사이에서 토큰 사용 사용자 세선검즘 재인증 유도 // 입력화면이 요청되었을 때, 임의의 토큰을 생성한 후 세션에 저장한다. session.setAttribute(“SESSION_CSRF_TOKEN”, UUID.randomUUID().toString()); // 입력화면에 임의의 토큰을 HIDDEN 필드항목의 값으로 설정해 서버로 전달되도록 한다. // 요청 파라미터와 세션에 저장된 토큰을 비교해서 일치하는 경우에만 요청을 처..

TLS(Trasport Layer Security) 브라우저나 서버 구간 암호화를 지원하는 보안 브로토콜 공개키 알고리즘을 기반으로 동작한다. X.509 인증서를 지원한다. 기본적으로 TCP 443 포트를 이용한다. OSI 7계층 중 4계층(Transport)부터 7계층(Application)에 걸쳐 동작한다. RSA, MD5, SHA-1 등을 사용한다. SHA-1은 최근에 SHA-256으로 대부분 교체되었다.

블록 암호 공격 선형 공격 : 알고리즘 내부 의 비선형 구조를 적당히 선형화시켜 키를 찾아내는방법 전수 공격 : 일어날 수 있는 모든 경우에 대해 조사하는 방법 수가적으면 가장 정확하나 일반적으로 수가 많은 경우 실현 불가능 차분 공격 : 두개의 평문 블록들의 차이에 대응되는 암호문의 비트 차이를 이용 통계적 분석 : 암호문에 대한 평문이 각 단어의 빈도에 관한 자료를 표함하는 지금까지 모든 통계적인 자료를 이용 블록 암호 모드 ECB 각 블록은 동일한 키를 이용 평문 조작이 가능하고 재전송 공격에 취약 간단한 구현, 고속암호화, 병렬처리가능 CBC 각 평문 블록은 이전 블록 암호문과 XOR연산 후 암호화 패딩 사용 암복호화 병렬처리 불가 가장 강력한 암호화 모드 IPSec, 커버로스 등에서 사용 OFB..

작년부터 기업공개 예정이었던 Roblox가 드디어 현지시간 10일 상장을 완료했습니다. 로블록스(RBLX) 뿐만 아니라 쿠팡(CPNG)도 11일 상장을 완료했죠 개인적으로 쿠팡보다는 로블록스가 관심이 가네요 :) 해당 기업에 대해서 알고 계신 분들도 있고 모르는 분들도 계실 겁니다 저도 들어만 보고 자세히 알지는 못했는데요. 게임 안에서 게임을 만들고 다 같이 플레이하고, 커뮤니티라 생각하시면 쉬울 겁니다. 비유를 하자면 스타크래프트 유즈맵느낌..? 스타 안에서 게이머들이 본인의 맵을 만들고 같이 플레이하며 즐기는... Roblox는 자체 게임엔진을 개발하고 사용자들이 쉽게 프로그래밍할 수 있도록 비교적 쉬운 객체지향 언어인 루아(5.1.4) 언어를 채택해서 사용합니다. 게임을 만들어서 얼마나 벌겠어? ..

2월 말일부터 정보보안 기사 산업기사를 준비하고 있음. 3월 27일(토요일) 필기시험 기사 산업기사를 같이 준비하는 이유는 정보보안 관리 및 법규 과목까지 출제가 되냐 안되냐의 차이 일단 해보고 안되면 산업기사 만 취득하는 걸로다가..ㅎ 정보보안 기사 산업기사는 출제 범위가 방대함

중국의 드론 택배 서비스를 준비하는 EHang(EH)입니다. 유심히 지켜볼만한 기업인데요. 지지선 : $20