취약점 분석 및 평가에 관한 법적 근거 : 정보통신 기반 보호법(제9조) -> 주요정보통신기반시설을 관리하는 관리기관(관계중앙행정기관)은 정기적으로 취약점 분셕 및 평가를 진행해야 한다. 과기부(관계중앙행정기관) 행정규칙에는 정기적이라는 의미가 연 1회 이상으로 바뀌어 표현, 좀 더 명확하게 명시함 주요정보통신기반시설이란 국가 운영에 포함되는 통신, 무역, 금융, 국방 등의 데이터를 가지고 운영하는 시설로 국가에서 주요시설로 지정되어 관리하는, 즉 국가 안보에 중요한 곳이다. 따라서 나라에서는 해당 시설을 관리하기, 보호하기 위해 법적으로 효력을 명시함누가 취약점 분석 및 평가를 하나?-> 과기부(관리기관)에서 주요정보통신기반 시설에 대해 취약점 분석 및 평가를 수행해야 함 과기부에서 자체적으로 ..

불충분한 인가의 경우 인증과 인가의 개념으로 인해 불충분한 인가와 착각할 수 있음우리가 흔히 알고있는 인증/인가의 개념은 다음과 같음인증 -> 사용자/내가 누구인지 식별 혹은 알리는 것 즉 어떠한 자원(리소스)에 접근하기 전에 주체가 누구인지 식별, 알리는 과정(프로세스)이 인증을 의미하며 휴대폰 인증, 로그인 인증이 이에 해당함인가 -> 인증된, 식별된 사용자나 주체가 어떠한 자원(리소스)에 접근할 수 있는 권한을 부여하는 프로세스 예를 들어 관리자가 사용자의 파일 업로드 기능을 할 수 있도록, 접근할 수 있도록 권한을 부여하는 프로세스를 인가라고 함 이러한 개념에서 불충분한 인가, 불충분한 인증을 생각하면 발생한 취약점에 대해 분류를 할때 동시에 인증/인가가 적용되는 경우가 발생함따라서 주요정보통신기..

JWT는 토큰 기반의 인증 시스템이며 사용자 인증 시 필요한 사용자 정보 데이터를 토큰 내에 포함시켜 자원에 접근을 하는 시스템 방식이다.  JWT 구조는 헤더, 데이터(페이로드), 서명값 이렇게 3가지의 값들이 . 으로 결합되어있다. -> 헤더.데이터.서명                           JWT 토큰은 JSON 객체를 사용하여 전달되며 전달되는 방식은 URL 파라미터 내, BODY 내, 쿠키 값 등에 포함되어 전달된다. JWT 헤더에는 토큰의 타입, 알고리즘이 정의 / 데이터에는 발급시간,만료시간, 고유식별자, 사용자 정보 등이 포함되어 있으며 취약점 이용 시 사용자 정보를 관리자나 타 사용자로 변경하여 발현시킴  JWT 서명 값은   BASE64로 헤더 값을 encode 한 값과 BAS..

공부방법 1과목(꿈꾸는 라이언 요약집) + 2,3과목(유튜브 균쌤 무료 강의) -> 시나공 퀵이지 기출문제 pdf 자료 5회차 풀이   필기 합격 소요시간은 대략 4주 소요되었으며 하루에 30분~1시간정도 공부하였다. 매일 공부한 것은 아니기에 2주정도 매일 1시간 시간을 소비하면 충분히 합격할 수 있다. 조언 및 후기24년도에 문제 출제 방식이 개정되면서 cbt 기출문제로만 공부하는 것이 효율적이지 않다고 하여 동영상 강의를 들었다. 여러 커뮤니티에서 책이나 동영상 강의를 추천했다. 스프레드, 데이터베이스 과목의 경우 책으로만 보면 이해하기가 어려워 영상으로 설명해주는 유튜브 강의 ㄱ쌤을 들었다. 강의를 다 들은 후 시나공 기출문제를 풀었다. 시나공 기출문제는 pdf 형식으로 무료 다운로드 가능하며 퀵..

ip로 접근제어 시 X-Forwarded-For:  헤더를 추가하여 우회 시도 -> xff 헤더는 클라이언트의 ip 주소를 식별하는데 쓰임logger++ / burp / osint / dirbuster / 구글 검색 / url 헌터 / 구글 콘솔창에 dirbuster 명령어 입력

1) 사용자의 입력 값이 브라우저 html 태그 내에 그대로 렌더링 되는 경우 -> , , window.open('  '),                           window.location.href=' ' , window.location.replace('  ') , window.location.replace("javascript:alert(1)") , globalThis.open(' '), xss   이런식으로 별도의 우회없이 공격 구문을 입력  2) 사용자의 입력 값이 브라우저 html 요소의 value 값에 그래도 렌더링 되는 경우  -> 태그를 탈출   -   a">~                  3) 사용자의 입력 값이 브라우저 html 요소의 value 값에 렌더링 되지만 일부..

에디터, 그누보드 등 국내 제품 취약점 이용 ( 해외 cve에서는 존재 x )  에디터의 기본 경로 및 샘플 페이지 -> 위치 공개 취약점과 연관 에디터 경로

프로세스 검증 누락 - 인증이 필요한 페이지 및 자원에 인가되지 않는 사용자 및 객체가 접근 가능한 취약점으로 인가와 비슷하게 볼 수 있지만 해당 취약점의 경우 url 직접 접근을 통해 접근 제어가 이루어지는지 확인함 ex ) 관리자 페이지 직접 접근

1. 본인 소개 보안 직종 실무자   2. 공부한 교재 / 강의  ㅎㄷㅆ 정보처리기사 실기 클래스 강의, ㅎㄷㅆ 정보처리기사 실기 교재   3. 공부방법공부기간을 총 1달로 잡았다.하루 1~2시간씩 3주동안 실기 인강 시험, 1주일 동안 교재 문제 및 인강 문제를 풀었다.실기 인강을 들을때는 시간을 고려하여 데이터베이스, 운영체제, 프로그래밍쪽만 1.3배속으로 들었다.4. 결론(조언 등)필기 합격 후 실기 시험에 여러번 떨어지며 자신감이 많이 떨어지고 회의감도 들었다.그동안 여러번 불합격을 하면서 프로그래밍 문제를 보충하면 충분히 합격할 수 있다고 생각했고, 안일하게 생각하여 중간에 흐지부지 되지 않게 실기 강의를 결재하였다.  1주일 동안 문제를 풀때는 프로그래밍쪽만 풀었으며 시험 볼때 실수를 많이 했..

보호되어 있는 글입니다.