공대생의 에러일기

KISA (한국인터넷진흥원) https://www.kisa.or.kr/2060204/form?postSeq=12&page=1 : 국내 IT인프라에 맞도록 정리한 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 OWASP Top10 (Open Web Application Security Project) https://www.owasp.org : 국제 웹 보안 표준기구로 정기적으로 웹 해킹 위협의 동향을 발표 CWE (Common Weakness Enumeration) http://cwe.mitre.org : 발견된 정적분석 취약점을 CWE-ID로 넘버링 포맷이 되어 있는 DB 수록.

'i was student' 이렇게 문장이 있을 때 첫 작은 따옴표가 문장의 시작을 알리고, 마지막 작은 따옴표가 문장의 끝을 알립니다. 그런데 'i wasn't student' 라는 문장엔 작은 따옴표가 3개이고 만약 앞에서 차례로 본다면 'i wasn' 까지만 문장이 되겠죠 그럼 저 사이에 있는 작은 따옴표를 인식이 되지 않게 해야겠죠? 그럴 때 '특수한 역할을 하는 문자를 일반 문자의 기능으로 변환하는 것이 이스케이프 처리를 한다'라고 합니다. 이스케이프 처리 방법 (')작은따옴표 앞에 (\)역슬래시를 붙여준다. (처리 x) 'i wasn't student' -> i wasn (처리 o) 'i wasn\'t student' -> i wasn't student +추가 작은 따옴표 뿐만 아니라 \" (..

공격은 크게 2가지로 나뉜다. 능동형 공격: 시스템이 자원을 바꾸거나 영향을 미침 수동형 공격: 시스템 자원에 영향을 미치지 않는 대신 정보를 수집하고 이용 해커(공격자)들은 수동형 공격을 통해 능동형 공격에 필요한 정보를 획득한다.

위협: 취약점을 악용하여 해를 끼칠 수 있는 잠재적인 행위 -> 행위가 실제로 일어나야 공격이 된다. 위험: 위협이 취약점을 이용해 자산을 공격해서 손실을 초래할 수 있는 잠재력 ->행위가 일어났을 때의 잠재력 취약점(공격벡터) : 잠재적으로 갖고 있는 약점, 취약점에 대응하는 위협이 있어야만 손실 초래

악성 코드 = 멀웨어 = 악성 소프트웨어 전부 같은 말이다. 멀웨어 종류 트로이 목마 : 사용자가 의도치 않은 코드가 정상적인 프로그램에 삽입된 프로그램 스파이웨어 : 설치된 시스템의 정보를 주기적으로 원격지의 특정 서버에 보내는 프로그램 백도어 : Admin hook 또는 Trip door 라 불린다. OS나 프로그램등의 생성 때 정상적인 인증 과정을 거치지 않고 접근할 수 있게 만든 통로 백도어 종류 로컬 백도어 : 서버의 쉘을 얻어내 관리자로 권한 상승 원격 백도어 : 로그인 한 것처럼 원격으로 관리자 권한 획득. 자신의 포트 개방. 패스워드 크래킹 백도어 : 패스워드를 공격자에게 보내줌 시스템 설정 변경 백도어 : 시스템 설정을 공격자 임의대로 변경 커널 백도어 : 커널에 심는 백도어. 일반 백도..