나혼자 스터디/정보처리기사29 소프트웨어 개발보안 설계 - 2(세션 하이재킹 / 애플리케이션 공격 / 네트워크 서비스 공격) 세션 하이재킹 : 케빈 미트닉이 사용했던 공격 방법 중 하나로 TCP의 세션 관리 취약점을 이용한 공격 기법 * 대응방안: 비동기화 상태 탐지 / ACK 패킷 비율 모니터링 / 특정 세션에서 패킷 유실 및 재전송이 증가되는 것 탐지 / 기대하지 ㅇ낳은 접속의 리셋 탐지 애플리케이션 공격 : DDoS를 통한 서비스 마비 공격 * 공격기법 - HTTP GET 플러딩: 과도한 GET 메시지를 이용하여 웹 서버의 과부하를 유발시키는 공격 - Slowloris - RUDY - Slow HTTP Read DoS - Hulk Dos - Hash Dos 네트워크 서비스 공격 * 공격기법 - 패스워드 크래킹 - IP 스푸핑 - ARP 스푸핑 - ICMP 리다이렉트 2022. 7. 4. 소프트웨어 개발보안 설계 - 1(DoS / DDoS / DRDoS) SW 개발 보안 개념 : 소스 코드 등에 존재하는 보안 취약점을 제거하고, 보안을 고려하여 기능을 설계 및 구현하는 등 소프트웨어 개발 과정에서 지켜야 할 일련의 보안 활동 SW 개발 보안 3대 요소 - 기밀성: 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성 - 무결성: 정당한 방법을 따르지 않고선 데이터가 변경될 수 없으며, 데이터의 정확성 및 안전성과 고의/악의로 변경되거나 훼손 또는 파괴되지 않음을 보장하는 특성 - 가용성: 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성 SW 개발 보안 용어 - 자산: 조직의 데이터 또는 조직의 소유자가 가치를 부여한 대상 - 위협: 조직이나 기업의 자산에 악영향을 끼칠 수 있는 사건이나 .. 2022. 7. 4. 배치 프로그램 / 배치 스케줄러 배치 프로그램 : 사용자와의 상호작용 없이 일련의 작업들을 작업 단위로 묶어 정기적으로 반복 수행하거나 정해진 규칙에 따라 일괄처리하는 방법 * 유형 - 이벤트 배치: 사전에 정의해 둔 조건 충족 시 자동으로 실행 - 온디맨드 배치: 사용자의 명시적 요구가 있을 때마다 실행 - 정기배치: 정해진 시점(주로 야간)에 정기적으로 실행 배치 스케줄러 : 배치 스케줄러는 일괄 처리를 위해 주기적으로 발생하거나 반복적으로 발생하는 작업을 지원하는 도구 * 종류 - 스프링 배치 - 쿼츠 스케줄러 쿼츠 크론 표현식 순서 필드 이름 허용 값 1 초 0~59, 특수문자 2 분 0~59, 특수문자 3 시간 0~23, 특수문자 4 일 1~31, 특수문자 5 월 1~12, JAN~DEC, 특수문자 6 요일 1~7, SUN~S.. 2022. 7. 4. 개발환경 구축 / 개발환경 구축 도구 개발환경 구축 : 응용 소프트웨어싀 개발 편의성, 개발 성능 향상을 위해 하드웨어 및 소프트웨어 개발환경을 구축하는 과정 개발환경 구축 도구 1) 빌드도구: 작성한 코드의 빌드 및 배포를 수행하는 도구(Gradle, Maven, Ant) 2) 구현도구: 코드의 작성과 디버깅, 수정 등과 같은 작업 시 사용되는 도구 / 개발할 때 가장 많이 사용(이클립스, 인텔리제이 등) 3) 테스트도구: 코드의 기능 검증과 전체의 품질을 높이기 위해 사용하는 도구(Xunit, PMD 등) 4) 형상관리도구: 개발자들이 작성한 코드와 리소스 등 산출물에 대한 버전 관리를 위한 도구(svn, git, cvs) 개발환경 구성 요소 : 하드웨어 개발환경 / 소프트웨어 개발 환경 * 서버 하드웨어 개발환경 - 웹서버 - 웹 애플.. 2022. 7. 1. 이전 1 2 3 4 5 ··· 8 다음