Security/SecureCoding(233)
-
SQL의 분류
SQL의 분류 분류설명데이터 정의어(DDL)테이블을 생성하고 변경/제거하는 기능을 제공데이터 조작어(DML)테이블에 새 데이터를 삽입하거나, 테이블에 저장된 데이터를 수정/삭제/검색하는 기능을 제공데이터 제어어(DCL)보안을 위해 데이터에 대한 접근 및 사용 권한을 사용자별로 부여하거나 취소하는 기능을 제공 SQL DML (데이터 조작언어) SQL DML설명SELECT데이터베이스로부터 데이터를 추출할 때 사용UPDATE데이터베이스 안에 있는 데이터를 수정할 때 사용DELETE데이터베이스에서 데이터를 삭제할 때 사용INSERT데이터베이스 내에 새로운 데이터를 추가할 때 사용 SQL DDL (데이터 정의 언어) SQL DDL설명CREATE DATABASE새로운 데이터베이스를 생성ALTER DATABASE데이..
-
SQL Injection, SQL 삽입 공격
SQL 삽입 공격의 배경 지식 SQL 삽입 공격은 애플리케이션에 임의로 작성한 SQL 구문을 삽입하는 공격이기 때문에 SQL에 대한 기본적인 이해가 있어야 합니다. SQL SQL(Structured Query Language, 구조화 질의어)는 관계형 데이터베이스 관리 시스템(RDBMS)의 데이터를 관리하기 위해 설계된 특수 목적의 프로그래밍 언어 SQL은 1974년에 IBM의 도널드 D. 챔벌린과 레이먼드 F. 보이스가 처음 개발 초기 명칭은 SEQUEL(Structured English Query Language, 구조화 영어 질의어)이었는데, SEQUEL이 영국의 호커 시틀리 항공사의 상표였기 때문에 이후 SQL로 이름이 바뀌었음. SQL은 1986년 SQL-86 표준화 작업부터 2011년에 이루어..
-
안행부 개발보안 가이드 vs. OWASP Top 10
안행부 개발보안 가이드 vs. OWASP Top 10 안전행정부의 소프트웨어 개발 보안 가이드는 총 7 가지 유형으로 구분되어 있으며, OWASP Top 10은 소프트웨어 개발 보안 가이드의 '입력 데이터 검증 및 표현', '보안 기능'에 대부분 매핑되어지는 구조를 가지고 있습니다.
-
웹 해킹이 발전하게 된 배경
웹 해킹이 발전하게 된 배경 해커의 가장 중요한 자질 중 하나는 호기심, 그에 못지 않게 중요한 것은 윤리의식 컴퓨터 시스템에 대한 동경과 호기심 때문에 해커들은 컴퓨터의 근본 원리에까지 파고들었고, 시스템의 버그를 찾거나 그것을 개선하려는 노력을 통해 보다 안전하고 진보된 시스템을 만들 수 있었습니다. 2000년 초반까지만 해도 주로 해킹의 대상은 시스템이었고, 버퍼 오버플로우, 포맷스트링버그 등 다양한 시스템상의 취약점에 대한 연구가 중점적으로 이루어졌습니다. 닷컴 열풍이 불면서 해커들이 점차 웹에 대해 관심을 가지게 됩니다. 웹 해킹이 발전하게 된 배경에는 시대적인 흐름도 있었지만, 90년대 중반부터 방화벽과 IDS와 같은 네트워크 보안 장비가 개발된 것도 한 원인입니다 → 네트워크 포트에 대한 직..
-
해킹 배경
배경 해킹은 시스템과 인프라 환경에 따라 지속적으로 변화하기 때문에 해킹의 역사와 배경을 미리 공부해 두면 웹 해킹 이후에 어떤 또 다른 기술이 나올 수 있는지 파악하는 데 도움이 됩니다 해킹 기술 역시 결국은 사람이 만들고 연구하는 것이기 때문에 해커들의 역사에 대해 알아둘 필요가 있습니다. 국내 해커의 역사 우리나라 해커의 시초는 1986년 한국과학기술원(KAIST)에 다니던 김창범씨가 '유니콘'이라는 해커 동아리를 만들면서 시작되었다고 알려져 있습니다. 1991년 한국과학기술원에서 해커 그룹 쿠스(KUS)가 만들어졌고, 이어 포항공과대학교(POSTECH)에 플러스(PLUS)가 생겨나면서 자연스럽게 경쟁관계가 형성되게 됩니다. KAIST-POSTECH 간의 해킹 전쟁을 계기로 쿠스가 해체되었고, 그 ..
-
소스코드 취약점 분석 방법
소스 코드 취약점 분석 방법 Black Box Testing웹 애플리케이션의 소스 코드를 보지 않고 웹 애플리케이션 외부 인터페이스나 구조를 분석하여 취약점을 발견하는 방식White Box Testing개발된 소스 코드를 살펴봄으로써 코딩 상의 취약점을 찾는 방식 Black Box vs White Box Testing의 장/단점 구분장점Black Box TestingWhite Box Testing에 비해 취약점을 찾는 속도가 빠릅니다. 다양한 취약점을 시도해 볼 수 있다. 인터페이스 간의 상관관계 분석을 통해 취약점이 발생할 수 있는 부분을 식별할 수 있습니다.White Box Testing웹 애플리케이션의 내부 소스 코드를 볼 수 있기 때문에 보안 취약점의 존재 유무를 좀 더 확실히 알 수 있습니다. ..