HTTP 프로토콜 특징

웹브라우저에서 서버로 어떤 데이터를 요청 하면, 서버측에서는 알맞은 로직을 수행한 후 데이터를 웹브라우저에 응답 합니다. 그리고, 서버는 웹브라우저와의 관계를 종료합니다. 이렇게, 웹브라우저에 응답 후 연결을 끊는 것(Connectless)은 http프로토콜의 특징 입니다.

HTTP 프로토콜의 위 두가지 특징의 해결 방법

연결이 끊겼을 때 정보를 지속적으로 유지하기 위한 수단으로 쿠키라는 방식을 사용 합니다.

쿠키는 서버에서 생성하여, 서버가 아닌 클라이언트측에 특정 정보를 저장 합니다. 그리고 서버에 요청 할 때 마다 쿠키의 속성값을 참조 또는 변경 할 수 있습니다.

쿠키는 웹 브라우저가 보관하고 있는 데이터로서 웹 서버에 요청을 보낼 때 함께 전송됩니다.

즉, 웹 서버 측에 웹 브라우저의 정보를 저장합니다. 저장한 후에는 계속되는 웹 브라우저의 요청 속에 포함되어 있는 웹 브라우저의 정보와 비교하여 동일한 웹 브라우저로부터 온 요청을 판단할 수 있습니다. 여기에서 쿠키가 상태가 없는 프로토콜(HTTP)을 위해 상태를 지속시키기 위한 방법으로 사용되어 집니다.

쿠키는 웹 브라우저의 정보를 웹 브라우저에 저장하므로 이후에 서버로 전송되는 요청에는 쿠키가 가지고 있는 정보가 같이 포함되어서 전송됩니다. 이 때 웹 서버는 웹 브라우저의 요청 속에 포함되어 있을 쿠키를 읽어서 새로운 웹 브라우저인지 이전에 요청을 했던 웹 브라우저인지를 판단할 수 있습니다.

OWASP Mobile Application Security Verification Standard V1.2

https://bit.ly/2UnDR0M

직접 다운로드

OWASP_MASVS-v1.2-en.pdf

OWASP_MASVS-v1.2-ko.pdf

Shodan- D-link 제폼 통계 서비스

·         CCTV, WebCam, IP카메라 등의 D-link제품에 대한 통계 페이지를 제공합니다.

·         전세계에 노출된 CCTV 관리자 페이지의 노출 취약점 현황을 확인할 수 있습니다.

https://dlink-report.shodan.io/

https://www.shodan.io/report/XDmzwhWb

D-link

랜카드를 제조 하였다고 알려져 있으며 인터넷 스위치, 공유기 등 다양한 통신 제품을 생산, 판매하고 있습니다.

http://bit.ly/2Jb6V7J

https://namu.wiki/w/D-Link

https://en.wikipedia.org/wiki/D-Link

https://www.dlink.com/en/consumer

애플리케이션 vs 어플리케이션 (Application)

'application'의 외래어 표기

http://bit.ly/2X5bi7Y

KISA 웹서버 보안 강화 안내서

http://bit.ly/2Mu33gK

목차

직접 다운로드

웹서버_보안_강화_안내서.pdf

bug bounty program 운영 사이트 찾기

"bug bounty program" 키워드로 구글 검색합니다.

많은 기업이 운영하고 있으며 전문적으로 하는 사람들도 있습니다.

bug bounty program

https://www.google.co.kr/search?&q=bug+bounty+program

XE 신규 보안 취약점 신고 포상제

오픈소스 XE(XpressEngine)는 "XE 신규 보안 취약점 신고 포상제"로 자체적으로 신고 페이지를 운영합니다.

https://www.xpressengine.com/security_bounty_program

신고 양식 다운로드 

XE_vulnerability_report.docx

XE_vulnerability_report.hwp

XE_vulnerability_report.pages

Bug Bounty(버그바운티) 참여 사이트

KISA 인터넷 보호 나라의 S/W 신규 취약점에서 신고하거나 자체 운영페이지에서 신고가 가능합니다.

·         한글과컴퓨터

·         네이버

·         카카오

·         카카오뱅크

·         네오위즈게임즈

·         이스트시큐리티

·         이니텍

·         잉카인터넷

·         지니언스

·         삼성

·         오픈소스 XE(XpressEngine)

·         등

S/W 신규 취약점 신고포상제

KISA와 공동으로 운영하는 기업은 기업들은 KISA 인터넷 보호 나라의 S/W 신규 취약점에서 신고 접수가 가능합니다.

http://codedragon.tistory.com/6300

SAMSUNG Rewards Program

삼성은 자체적으로 운영하는 Rewards Program에서 보안 취약점 신고가 가능합니다.

USD $200 ~ USD $200,000을 지급한다고 합니다.

Rewards Program

https://security.samsungmobile.com/rewardsProgram.smsb