200. 서비스 공격 유형 1) 서비스 거부 공격 (DoS; Denial of Service) : 표적이 되는 서버의 자원을 고갈시키고자 다수의 공격자나 시스템에서 대량의 데이터를 집중적으로 전송하여 서버의 정상 기능을 방해하는 공격 방식 - 서비스 거부 공격의 유형 1. Ping of Death : 인터넷 프로토콜의 허용 범위(65,536 Byte)를 넘는 크기의 패킷을 Ping 명령으로 전송하여 대상의 네트워크를 마비시키는 공격 공격에 사용되는 큰 패킷은 수백 개의 패킷으로 분할되어 전송 공격 대상은 분할 전달된 패킷을 재조립하는 부담과 각 패킷들의 ICMP Ping 메시지에 응답 처리로 인해 시스템 다운 ICMP Ping : 특정 IP로 패킷이 전송될 때 해당 IP의 노드가 현재 운영 중인지 확인을..
195. 에러 처리 : 소프트웨어 실행 중 발생 가능한 오류들을 사전에 정의하여 문제를 예방하는 보안 점검 항목 각 프로그래밍 언어의 예외처리 구문을 통해 오류에 대한 사항을 정의 ex) JAVA - try ~ catch 블록 예외처리 구문으로 처리하지 못한 오류들은 중요 정보를 노출시키거나 예기치 못한 문제를 발생시킬 수 있음 - 에러 처리 미비로 인한 보안 약점 1. 오류 메시지를 통한 정보 노출 실행 환경, 사용자 정보, 디버깅 정보 등의 중요 정보가 오류 메시지를 통해 외부로 노출되는 보안 약점 노출되는 경로 및 디버깅 정보는 공격자의 악의적 행위에 이용될 수 있음 예외 처리 구문에 예외의 이름이나 스택 트레이스가 출력되는 경우 소프트웨어의 내부 구조가 노출됨 => 오류 발생 시 가능한 한 내부에..
190. Secure SDLC : 보안상 안전한 소프트웨어 개발을 위해 소프트웨어 개발 생명 주기(SDLC)에 보안 강화 프로세스를 포함 한 것 유지 보수 단계에서 보안 이슈 해결로 소모되는 비용을 최소화하기 위해 등장 SDLC의 전 단계에 걸쳐 수행되어야 하는 보안 활동 제시 - 대표적 Secure SDLC 방법론 CLASP : 생명 주기의 초기 단계에서 보안을 강화하기 위해 개발된 방법론 Secure Software 사에서 개발 활동 중심, 역할 기반의 프로세스로 구성 현재 운용 중인 시스템에 적용하기에 적합 SDL : 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개선한 방법론 Microsoft 사에서 개발 전통적인 나선형 모델 기반 Seven Touchpoints : 소프트웨어 보안의 모범 사례..
도서 개발 공부/정보 처리 기사 필기 2022. 4. 20. 02:40
200. 서비스 공격 유형 1) 서비스 거부 공격 (DoS; Denial of Service) : 표적이 되는 서버의 자원을 고갈시키고자 다수의 공격자나 시스템에서 대량의 데이터를 집중적으로 전송하여 서버의 정상 기능을 방해하는 공격 방식 - 서비스 거부 공격의 유형 1. Ping of Death : 인터넷 프로토콜의 허용 범위(65,536 Byte)를 넘는 크기의 패킷을 Ping 명령으로 전송하여 대상의 네트워크를 마비시키는 공격 공격에 사용되는 큰 패킷은 수백 개의 패킷으로 분할되어 전송 공격 대상은 분할 전달된 패킷을 재조립하는 부담과 각 패킷들의 ICMP Ping 메시지에 응답 처리로 인해 시스템 다운 ICMP Ping : 특정 IP로 패킷이 전송될 때 해당 IP의 노드가 현재 운영 중인지 확인을..
도서 개발 공부/정보 처리 기사 필기 2022. 4. 18. 21:45
195. 에러 처리 : 소프트웨어 실행 중 발생 가능한 오류들을 사전에 정의하여 문제를 예방하는 보안 점검 항목 각 프로그래밍 언어의 예외처리 구문을 통해 오류에 대한 사항을 정의 ex) JAVA - try ~ catch 블록 예외처리 구문으로 처리하지 못한 오류들은 중요 정보를 노출시키거나 예기치 못한 문제를 발생시킬 수 있음 - 에러 처리 미비로 인한 보안 약점 1. 오류 메시지를 통한 정보 노출 실행 환경, 사용자 정보, 디버깅 정보 등의 중요 정보가 오류 메시지를 통해 외부로 노출되는 보안 약점 노출되는 경로 및 디버깅 정보는 공격자의 악의적 행위에 이용될 수 있음 예외 처리 구문에 예외의 이름이나 스택 트레이스가 출력되는 경우 소프트웨어의 내부 구조가 노출됨 => 오류 발생 시 가능한 한 내부에..
도서 개발 공부/정보 처리 기사 필기 2022. 4. 18. 15:55
190. Secure SDLC : 보안상 안전한 소프트웨어 개발을 위해 소프트웨어 개발 생명 주기(SDLC)에 보안 강화 프로세스를 포함 한 것 유지 보수 단계에서 보안 이슈 해결로 소모되는 비용을 최소화하기 위해 등장 SDLC의 전 단계에 걸쳐 수행되어야 하는 보안 활동 제시 - 대표적 Secure SDLC 방법론 CLASP : 생명 주기의 초기 단계에서 보안을 강화하기 위해 개발된 방법론 Secure Software 사에서 개발 활동 중심, 역할 기반의 프로세스로 구성 현재 운용 중인 시스템에 적용하기에 적합 SDL : 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개선한 방법론 Microsoft 사에서 개발 전통적인 나선형 모델 기반 Seven Touchpoints : 소프트웨어 보안의 모범 사례..