본문 바로가기

분류 전체보기23

[보안] Replay Attack(재전송 공격) Replay Attack 이란 프로토콜 상 메시지를 복사한 후 재전송함으로써 승인된 사용자로 오인하게 만들어 공격하는 방법 웹 서비스, 인증 부분, 접근 부분, 패킷 정보 재사용 부분 등에서 사용 가능 공격 시나리오 1. A가 B에게 보내는 송금의뢰 메시지와 메시지 인증 코드를 H가 가로챔 H는 메시지와 메시지 인증코드를 그대로 다시 전송함으로써 A가 아님에도 송금요청을 할 수 있음 2. 공격자는 게시판에서 내용 입력 부분, 혹은 답변 부분의 XSS 취약점을 이용해 악의적인 스크립트 삽입 사용자들이 해당 게시물 접근시 자신도 모르게 인증 세션 정보를 공격자 서버에 전달 공격자는 해당 세션 정보를 자신의 세션 정보와 교체하면 획득한 사용자의 인증으로 서비스 이용 가능 대응 방안 1. 순서 번호(sequen.. 2022. 1. 20.

[보안] DMZ 네트워크 DMZ(Demilitarized zone, 비무장지대) 조직의 내부 네크워크(인터넷)와 외부 네트워크 사이에 위치한 서브넷 DMZ 안에 있는 호스트들은 내부 네트워크로 연결할 수 없어, DMZ 안의 호스트의 침입으로부터 내부 네트워크를 보호 보안의 목적으로 폐쇄 형태의 내부 네트워크만 사용하는 기관들에게 필요 외부에서 접근되어야 할 필요가 있는 서버들을 위해 사용됩니다. ex. 메일서버, 웹서버, DNS 서버 삼각 방화벽 설정(three-legged firewall set-up) 방화벽 설정 옵션을 통해 DMZ 형성 이 옵션을 통해 각각의 네트워크는 방화벽에 서로 다른 포트를 사용하여 연결 차단된 서브넷 방화벽(screened-subnet firwall) 두개의 방화벽 중간에 DMZ를 연결하는 더 강력한.. 2022. 1. 20.

[Vue.js] CLI 2.x 과 3.x 비교 명령어 2.x vue init '프로젝트 템플릿 이름' '파일 위치' 3.x vue create '프로젝트 이름' 웹팩 설정 파일 2.x webpack.config.js 노출 O 3.x webpack.config.js 노출 X 이유: 상당히 복잡하여 사용자들에게 노출조차 하지 않고 라이브러리 내부에서 알아서 처리 프로젝트 구성 2.x 깃헙의 템플릿 다운로드(npm install 추가로 필요) 3.x 플러그인 기반으로 기능 추가 ES6 이해도 2.x 필요 x(App.vue 파일에서 참고 가능) 3.x 필요 O(축약문법도 필요) 출처: 인프런 Vue.js 완벽 가이드 - 실습과 리팩토링으로 배우는 실전 개념 강의 2022. 1. 9.

[Java] log4j Log 레벨 로그를 사용하는 목적 서비스 동작 및 장애 상태 파악 log4j Log for Java 다양한 대상으로 로그를 출력 할 수 있는 오픈소스 입니다 System.out.println()을 사용하면 해당 로그를 사용하지 않고 싶을때 삭제해야하지만, log4j의 로그레벨을 사용하면 원하는 범위의 로그만 출력할 수 있어 편리합니다. 다운로드 링크: https://logging.apache.org/log4j/1.2/download.html Apache log4j 1.2 - Download Apache log4j 1.2 Log4j 2 is nominated for the JAX Innovation Awards! Do you like its performance, garbage-free logging, and easy.. 2022. 1. 7.

[WAS] http → https 로 변환하기 http → https 로 변환하는 과정을 알아봅시다. 1. KeyStore 파일 private key, certificate 등을 저장하는 파일 C:/Users/사용자명 경로에 파일 위치 2. Tomcat 서버의 server.xml 설정 주석처리 (26번째 줄) 태그 사이에 Connector 태그 추가 keystoreFile: keystore 파일 위치 keystorePass: keystore 파일 비밀번호 port: 포트번호 (443이 기본) 2022. 1. 3.

[보안] 인증서 인증서란 공개키와 공개키의 소유자를 연결시켜주는 전자문서(복호화 키인 공개키를 파일 형태로 만들어 놓은 것) 공동인증서란 (구 공인인증서) 신뢰할 수 있는 인증기관(CA)이 전자서명하여 생성하며 인증기관이 공개키를 공증 개인키와 공개키 쌍을 만들고, 그 개인키를 공인인증기관에서 적법한 절차를 통해서 만들었다고 인증서를 발행하는 것 인증서 포함 내용 개인키를 보증하기 위해 그 쌍이 되는 공개키 인증서를 공인인증기관이 정식으로 발행했다는 것을 알리기 위한 공인인증기관의 전자서명 (전자서명: 인증서에 기록된 여러 정보를 하나로 모은 후 해시 함수에 입력하여 지문을 얻어내고, 발급자(발급해주는 곳)의 암호화키(개인키)로 해당 지문에 대한 암호화 한 결과) 인증서 표준 X.509 인증서(버전3), SPKI인증서,.. 2021. 12. 30.

[보안] 공개키 기반 구조(PKI: Public Key Infrastructure) 대칭키 알고리즘 한 개의 같은 대칭키를 이용하여 인크립션과 디크립션을 하는 것 처음 통신 시 키를 교환하면서 키가 노출되는 상황이 생기는 키 배송문제 해결을 위해 공개키 암호 사용 비대칭키 알고리즘 두 개의 키인 개인키(오직 개인 혼자만이 가지고 있는 키)와 공개키(공개적으로 누구에게나 공개되어 있어 얻을 수 있는 키)를 이용하여 인크립션과 디크립션을 하는 것 RSA 암호화, 과거의 암호방식은 암호화를 위한 키 뿐만 아니라 알고리즘 역시 노출되지 않기 위해 노력하였으나 현대의 암호에서는 알고리즘을 모두 공개하도록 하고 있다. 이유는 키 이외에 암호 시스템의 모든 것이 공개되어도 안전해야 한다고 Kerckhoff 가 주장하였다. 1) 평문을 공개키를 이용해서 인크립션 한다면 쌍이 이루어지는 개인키를 이용해.. 2021. 12. 30.

[자료구조] 해시 알고리즘 - 해시 알고리즘 임의 길이의 메시지를 일정 고정 길이의 해시 값으로 변환시켜주는 단방향성 함수/알고리즘 해시 값으로는 입력 값을 찾아낼 수 없음(일방향성) 해시 값이 일치할 것 같은 또 다른 입력 값을 찾아낼 수 없음(역상저항성) 해시 값이 같은 임의의 두 입력 값을 찾아낼 수 없음(해시 충돌 저항성) 인증서의 지문 = 인증서의 주요정보(발급대상, 발급대상의 공개키, 발급자, 발급자의 서명)를 해시한 값 - 해시 테이블 key: 매핑 전 원래 데이터의 값, hash value(인덱스): 매핑 후 데이터의 값 key-value 쌍에서 key 값을 테이블에 저장 시, key 값을 해시 함수를 이용해 계산 후 결과값을 배열의 인덱스로 저장하는 방식 해시 함수: key 값 k를 입력 받아 0부터 배열크기-1 .. 2021. 12. 30.

이전 1 2 3 다음

공지사항

최근글

인기글

전체 방문자

Today :

Yesterday :

티스토리툴바