분류 전체보기 (27) 썸네일형 리스트형 CSRF 공격이란? Cross Site Request Forgery (CSRF) 공격이란 이전에 작성했던 OWASP 에도 등록되었던 공격 방법 중 하나다 보통 웹 사이트를 개발할 때 CSRF 취약점에 대해서는 고려하지 않고 개발하지 않기때문에 오래된 취약점인데도 불구하고 많은 사이트에서 취약점이 발견된다 대표적인 CSRF 공격 사례로 유명 쇼핑몰의 1000만여명 개인정보 유출 사건이 있다 (2008년) 실제 CSRF 공격의 방법 예는 위의 같은 경우가 있다 특정 사이트에 로그인 된 상태에서 해커가 보낸 스팸 메일의 링크를 클릭하게되면 해커가 지정한 비밀번호로 변경하는 A 사이트의 URL 이 호출된다 만약 A 사이트에 로그인된 상태가 아니라면 문제 없지만 이미 브라우저에서 로그인된 상태라면 자신도 모르는새 해커가 지정한 비밀.. Kanban System 의 간략 정의와 역사 Kanban System 을 간략하게 정의하고 실제 적용한 역사를 정리한다 Kanban System 은 2004년 마이크로소프트에서 최초로 시도되었다 정확히는 IT 공학 분야에서 최초로 사용된 사례이며 IT 이외까지 포함하면 최초는 아니다 마이크로소프트에서는 Kanban System 적용 전 드럼-버퍼-로프 방식을 사용했다 애자일 2007 컨퍼런스 이후 칸반은 커뮤니티에 채택되었다 Kanban System 은 당김 방식으로 진행된다 당김 방식이란 대기 중인 업무 목록 중 하나를 당겨가서 진행한다는 의미이다 Kanban 은 일본어로 'Signal Card' 의 의미이다 여기서 일본어의 의미를 작성한 이유는 Kanban 의 최초는 일본이기 때문이다. 위의 마이크로소프트는 IT 분야에서 적용한 최초이다 카드벽.. HTTPS 프로토콜과 보안 HTTPS 를 쉽게 설명하면 우리가 특정 사이트를 접속할 때 주고 받는 데이터를 암호화하여 전송할 수 있게 해주는 규약이다 예를 들어 네이버 쇼핑에서 주문 화면으로 들어가면 나의 이름, 주소 등이 자동으로 입력되어 있다 이런 정보를 중간에서 해커가 가로채서 볼 수 없도록 암호화한다고 생각하면 된다 HTTPS 를 사용하지 않고 HTTP 를 사용할 경우 중간에 데이터를 암호화하는 작업이 생략되므로 속도가 더 빠르다 그래서 예전에는 중요한 데이터를 주고받는 부분만 HTTPS 로 구현한 적도 있지만 요즘에는 인터넷 속도가 기본적으로 빠르므로 모든 화면을 HTTPS 로 구현하고 있다 프로그램 개발자 입장에서도 HTTP 또는 HTTPS 로 단일 개발하는게 더 신경쓸 일 없고 편하다 또한 HTTPS 를 일부만 지원하.. 대형 프로젝트에서 kanban 적용 시 참고할 점 대형 프로젝트를 진행할 때는 개발만이 전부가 아니다 업무 회의, 문서, 디자인, 개발 등 단순 개발 이외에도 진행해야할 업무가 많이 존재한다 이렇게 대형 프로젝트에서 kanban 을 통해 업무 프로세스를 관리할 경우 참고할 점을 알아보자 진행 중 업무를 제한하고 칸반보드를 잘 활용하자 가장 기본이 중요하다. 칸반의 기본 원칙인 진행 중 업무 수의 제한을 지켜야한다 그리고 전체 진행상황을 한 눈에 볼 수 있는 칸반보드를 잘 활용해야 한다 계층 레벨 이용 대형 프로젝트의 요구사항은 계층적이다 단순히 별개의 여러 요구사항이 있는게 아니라 단계적으로 연결되는 요구사항이 많다 따라서 계층적으로 구분한 칸반보드를 이용해야 한다 계층 레벨 중 두 번째 단계는 고객 중심 위에서 설명한 계층 레벨에서 두 번째 단계는 요.. 웹 해킹 커맨드 인젝션 공격 개념 웹 해킹에 사용되는 많은 방법 중 하나인 커맨드 인젝션 공격이란 정상적인 명령어에 또 다른 명령어를 추가하는 방식이다 아래는 정상적인 방법이며 많은 사람들이 서버의 네트워크 상태를 확인하기 위해 ping 명령을 사용하고있다 이렇게 ping 아이피 명령을 사용하면 서버와의 통신 상태가 응답되며 일반적으로 많이 사용하는 방식이다 이걸 이용해 커맨드 인젝션 공격을 진행하려면 아래같이 할 수 있다 정상적인 ping 명령어 뒤에 세미콜론 ';' 을 포함하여 cat /etc/passwd 명령을 전송한다 그럼 ping 명령에 대한 결과와 cat /etc/passwd 명령에 대한 결과를 확인할 수 있다 추가 설명으로 cat /etc/passwd 명령은 리눅스 계열에서 서버의 사용자 정보를 확인하는 명령어이다 위의 예제.. 웹 해킹의 공격 단계 웹 해킹의 공격 단계 훑어보기 단계 웹 해킹 공격을 위한 준비단계. 공격 대상을 검색 취약점 분석 웹 서버나 프레임워크의 버전, 버전에 따른 버그, 설정으로 인한 취약점 등을 찾는 단계 사이트 공격 분석된 취약점 정보를 이용하여 웹 공격 수행 웹 공격 후 회원 정보나 그 외 사이트만의 민감한 정보를 취득하는게 주 목적 권한 획득 / 백도어 사이트에 침투하였으면 관리자 권한을 획득하여 내부 정보를 회득 또는 정보 취득의 목적이 아닌 웹의 오류를 발생하는게 목적일 경우 네트워크에 대한 공격 로그 제거 웹 해킹 공격 완료 후 자신의 침투 내역을 삭제 참고자료) 화이트 해커를 위한 웹 해킹의 기술 참고솔루션) 봄즈 소프트웨어 방법론 칸반의 목표 소프트웨어를 회사에서 개발할 때 작은 중소형 기업이 아니라면 여러 개발자가 함께 개발을 진행한다 이때 효율적으로 업무 분담 및 이슈 관리 등을 하기 위한 방법론으로 유명한 애자일이 있으며 그 외에도 스크럼, 칸반, 워터폴 등이 있다 여기서 스크럼은 애자일의 작은 범위이긴한데 보통 별도의 방법론으로 이해하고 사용하기도 한다 오늘은 소프트웨어 방법론 중 칸반의 목표에 대해 정리한다 칸반이 무엇인지는 지난 포스팅에 많이 설명했으니 모른다면 이전 포스팅 참고!! 제1목표) 프로세스의 최적화 칸반을 사용하는 가장 첫번째 목표이자 가장 중요한 목표는 프로세스의 최적화이다 칸반 보드를 이용한 시각화를 이용하고 진행하는 업무의 수를 제한시켜서 프로세스의 최적화를 이룰 수 있다 제2목표) 제품 품질의 향상 진행하는 업무.. OWASP (Open Web Application Security Project) 오늘은 OWASP 에 대해서 정리해보자 OWASP 란 Open Web Application Security Project 의 약자이다 소프트웨어의 보안을 위한 단체이고 이름에 Security 가 들어간것처럼 웹과 어플리케이션의 보안과 관련한 일을 수행한다 OWASP 에서는 여러 프로젝트를 진행하는데 그 중에서 웹의 가장 심각한 보안 관련 이슈를 공유하는 프로젝트를 OWASP Top 10 프로젝트라고 부른다 Top 10 은 확산도, 공격 가능도, 탐지가능도, 영향력을 기준으로 평가하여 선정된다 보안 관련 컨설팅 업체는 모의해킹, 보안 컨설팅 등을 수행할 때 OWASP TOP 10에 선정된 항목을 중요하게 점검하게되고, 가능하면 개발회사도 해당 내용들에 대해서 주의깊게 개발해야 한다. 아래는 2013년과 2.. 이전 1 2 3 4 다음
