SK shieldus Rookies 16기

웹 애플리케이션 취약점 진단 - 동적 진단 - 정적 진단 (소스코드 진단) >> 소스코드를 보고 진단하는지 안하는지 차이점 동적 진단 장점: 상대적으로 진단하는 소요기간이 적음 단점: 누락의 가능성이 상대적으로 높음 정적 진단 > 소스코드 방법론 (data tracing) 장점: 보다 깊이있게 진단이 가능 단점: 시간이 오래걸림 (하나의 서비스 > 최소 2주~ 수 개월) 크로스 사이트 스크립트 필터링시에 - 특수문자 - 키워드 - 오픈라이브러리 소스코드 진단 - 자동화 솔루션 (App Scan / Fortify ) > 결과 보고서 자동으로 나옴 - 수동 진단 > 편차가 큰 결과물 자동화 솔루션(반 자동화) 장점: 간편, 시간 소요 적음 단점: 과/오탐 비율이 큼 > 솔루션을 잘 이해하고 있는 엔지니어 필..

vpc: 가산네트워크 생성 ec2: 인프라와 관련 , Iaas, 웹서비스 인프라 제공 - 클라우드 elastic > autoscailing과 노드밸런서로 구현 - 클라우드 모니터링 - rds와 s3로 파일저장 > 응용프로그램을 구현시키기 위한 인프라 구성 - 조금 더 클라우드 변환하는 서버리스 architecture * 서버리스 architecture > docker 이해 서버리스 아키텍처 - 서버리스(serverless)란 개발자가 서버를 관리할 필요 없이 애플리케이션을 빌드하고 실행할 수 있도록 하는 클라우드 네이티브 개발 모델 - 여러 개의 레이어로 구성 - 각종 하드웨어 필요 - 각 종 서비스가 존재해서 내가 만든 프로그램을 구동 >> 서버가 없이 내가 만든 함수들로 연결지어 서비스 구현해주는 것..

AutoScaling AWS CloudFormation - 작업은 스택과 탬플릿으로 작업. 스택을 생성할 때마다 템플릿에 설명된 리소스를 프로비저닝 장점: 인프라 관리 간소화, 신속하게 인프라 복제, 인프라 변경 쉽게제어, 추적 - public 과 pri 서브넷으로 나눔 - public : 웹 서버 - private : DB * 웹서버와 DB 통신으로 구성 구성요소 템플릿 - Json 또는 Yaml - 스택에서 프로비저닝할 리소스 설명 - cloudformation designer 또는 텍스트 편집기를 사용해서 생성 Stack - 스택을 삭제하면 관련 리소스 모두 삭제 변경세트 - 리소스를 변경하기 전에 제안된 변경사항 요약 - 리소스에 미치는 영향 확인 VSCode 실행 C:\Users\USER> cd..

권한은 직접 부여하지 않고 정책 정책 - 관리형 정책 : 만들어 놓은 정책을 부여 > 정책을 일관되게 - 인라인 정책 : 개별 주체에게 직접 정의 > 인스턴스 시작 user-2로 로그인 >> user-2는 EC2support그룹에 속해서 EC2ReadOnlyAccess 권한을 가지고 있어서 EC2리소스 현황 확인 가능 user-2 사용자는 S3 서비스로 이동 >> S3권한이 없기때문에 버킷 목록조회가 불가능 *해당 사용자에게 권한 부여 or S3Supportgroup에 포함 본 계정으로 user-2 사용자를 S3Support 그룹에 추가 IAM > 그룹 > 그룹에 사용자 추가 user-2 > 사용자로 S3버킷 목록 조회 >> 해당 사용자가 S3ReadOnlyAccess 권한을 갖고있는 S3-Support..

가상화: 프로그램을 이용해서 pc와 같은 소프트웨어적으로 활용하는 것. *하드웨어를 소프트웨어적으로 표현한 것. - 파일 형태로 저장 > 읽히고, 실행 되는것. - 장점: 파일이 있기 때문에 쉽게 복사 이동 가능 - 가상화로 구축된 서버는 파일로 복원이 가능함. - 하드웨어자체가 가상화를 거치게 되면 이동하는 것이 가능 - 똑같이 구성되어있는 하드웨어를 복사가 가능. 클라우드: 발달된 가상화기술 > 네트워크를 통해서 IT자산을 빌려쓰는 것 - 필요에 따라 소프트웨어가 될수있고, 인프라가 될수도 있고... 분류 기준 - Iaas : 인프라 > 네트워킹 기능, 컴퓨터 및 데이터 스토리지 공간 대표적으로 EC2 - Paas : 플랫폼 - Saas : 소프트웨어 >> 플랫폼과 소프트웨어의 종류에 따라서 분화가 ..

법제도 이해 데이터 3법 개정(20.8) - 개인정보보호법 (일반법) : 가명정보의 처리에 관한 특례 신설/ 개보위 중앙행정부처(장관급)으로 출범 - 정보통신망법(특별법) - 신용정보법(특별법) : 내 정보는 내가 결정 >> 가명데이터 활용 https://www.data.go.kr/ - 공공 데이터 포털 사이트 21.12 -> EU GDPR 적정성 결정 => 단, 금융 부분에 대해서는 X - 적정성 결정 개인정보위원회에서 정책결정 국가 데이터 정책위원회 - 데이터 생산, 거래 및 활용 촉진에 관한 사항을 심의하기 위해 국무총리 소속으로 국가 데이터 정책위원회를 둔다. 개인정보 보호법 저작권법 공공데이터 등 관한 법률은 다른 법률에 정하는 바에 따른다. 인구 밀집도 > 각 통신사 로직, 위치정보 정형 데이..

죽은 사람은 개인정보가 될 수 없음 개인정보 흐름도 직접 그려보기 과태료 조사 현대사회와 개인정보 개인정보보호법 (11.03) 징벌적 손해 배상 제도 : 손해액 제도 실습1 왜 개인정보를 수집하는가? - 서비스와 마케팅 제공 개인정보 수집시 어떤 절차? - 회원가입하거나 특정 서비스를 이용할 때 개인정보 수집 동의서를 제시하는 절차 개인정보를 수집하여 누구에게 제공? - 제휴사 해택 > 제휴사와 공유 백화점, 홈쇼핑 /㈜신세계, ㈜광주신세계, ㈜신세계동대구복합환승센터 개인정보를 수집하여 누구에게 위탁? - ㈜신세계아이앤씨(IT회사) –db관리, 카드사 개인정보는 언제 어떻게 파기하고 있는가? - 신세계포인트를 이용하지 않는 사용자 전자적 파일 형태로 기록ㆍ저장된 개인정보는 기록을 재생할 수 없도록 파기하..

(서버, 클라이언트, 라우터, 스위치, 방화벽 )시스템 보안 -> 서버 운영체제 공격 -> root 권한 탈취의 목적 >> 시스템 공격+대응방안 -> 시스템 보안 공격 - 하드링크/ 심볼릭링크 공격 - 특수권한을 이용한 공격 //usr/bin/passwd >>특수권한 설정 cd /TEST > nano test01.sh cat test01.sh chmod 744 test01.sh > 실행권한 복사 cp test01.sh test02.sh cp test01.sh test03.sh 2번에 특수권한 *set user에 공격이 많이 들어옴 chmod 4744 test02.sh chmod 4755 test03.sh test03.sh - other에 실행권한이 있어서 실행가능 chmod 755 특수권한이 있어도 실행..

ids - 공격 룰을 만들고 패킷을 찾아내는 보안 장비 과제 rules alert icmp any any -> any any (msg:"Ping of Death 7 Class"; sid:3000004; threshold: type both, track by_src, count 50, seconds 10; content:"|585858|"; ) 시스템 - 계정관리, 파일디렉토리 관리 점검항목 리눅스 - 커널 : 명령어 실행기 - 쉘 : 명령어 해석기 >> 쉘이 명령어를 해석하고 커널에 전달 Linux: linux kernel Linux 배포판: Kernel + gnu +자유 소프트웨어 (다양한 유틸리티 프로그램) centos 소프트웨어선택 > 개발 및 창조를 위한 워크스테이션 ip : 192.168.10...

ICMP - ip의 단점을 보완 *ip의 단점은 신뢰성도 없고 비연결 지향 - ping은 신뢰성이 없고 비연결형 프로토콜 - ping은 ICMP의 역할 icmp가 ping전달 >> tracert 192.168.50.20 ping -n 3 [게이트웨이 주소] - 3은 ping 한 개만 - t 는 무한대 >> 망 테스트 할 때 사용 - l 500 >> 전송 데이터 사이즈 설정 - f >> 단편화 못하게 - i 4 [주소] >> ttl값을 변경하고 icmp ip.addr == 192.168.35.1 L4 : TCP, uDP L3 : IP, ICMP, ARP, RAPR, IGMP(lan구간에서 돌아가는 멀티캐스트) L2 : 이더넷 프레임 arp reply arp >> 1.10 정보 등록 >> 없으면 무시 >> ..