◈ Study/웹 보안(Web Security)🔐

[웹 보안] 서비스 거부 공격 DoS(Denial-of-Service) [SYN Flooding, Ping of Death, 스머프 공격]

- 서비스 거부 공격 DoS(Denial-of-Service)1. DoS란?공격자가 시스템의 자원을 모두 소진시켜서 다른 사람이 서비스를 받지 못하게 방해하는 공격이다. 과부하 걸리게 하는 공격이기에 많은 종류가 있고, 자주 발생하며 보통 테러의 성격을 가지고 있다.2. 취약점 공격 DOS일반적으로 데이터는 네트워크로 한 번에 보내지 않는다. 한 번에 전송될 수 있는 데이터는 기본적으로 1500byte 정도이다. 그 이상의 데이터를 보낼 때에는 데이터가 여러 번 전송되는 것이다.이때 데이터의 순서가 뒤바뀌어서 목적지에 도착할 수 있으니, 데이터(패킷)을 보낼 때, 앞에 순서를 붙인다. 이때 공격자는 데이터를 조작하여 순서가 불완전하도록 한다. 공격자는 이렇게 데이터 순서가 중복되거나, 순서..

[웹 보안] 포트는 왜 중요할까? [포트와 보안의 상관 관계]

- 포트는 왜 중요할까? 포트는 네트워크 통신에서 특정 프로세스나 서비스가 통신을 위해 사용하는 출입구이다. 포트는 서로 다른 프로세스 간의 효율적인 통신을 가능하게 하며, 서비스의 접근성과 상호작용에 중요한 역할을 한다. 포트를 적절하게 관리하고 보호하지 않으면 다음과 같은 문제가 발생할 수 있다. 보안 위험: 개방된 포트는 악의적인 공격자에게 시스템에 대한 직접적인 접근을 허용할 수 있다. 서비스 가용성: 올바른 포트 관리가 없으면 서비스에 접근하기 어려워질 수 있으며, 이는 사용자들에게 불편을 초래할 수 있다. 네트워크 성능: 포트 충돌이나 부정적인 활동으로 인해 네트워크 성능이 저하될 수 있다. 좀비PC나 브루트포스로 포트를 찾을 수 있지 않을까? 정답은 YES. 좀비 PC나 브루트포스 공격은 포..

[웹 보안] 보안이란 무엇인가? [웹 보안의 구성, 보안에 대한 기본적인 오해]

- 보안이란 무엇인가? 1. 정보 보안의 3가지 요소 1) 무결성 : 권한을 가진 사람만 정해진 방법으로 정보를 변경할 수 있어야 한다. 나의 개인정보를 변경할 수 있는 사람은 일반적으로 나 자신뿐이다. 모르는 사람이 갑자기 나의 이름(id)과 비밀번호를 바꿀 경우 무결성이 침해된 것이다. 민감한 정보뿐만 아니라, 모두에게 공개되는 나의 닉네임을 누군가 함부로 바꾸는 경우 등에도 무결성이 침해된 것이다. 2) 기밀성 : 권한을 가진 사람만 정보에 접근할 수 있어야 한다. 나의 금고를 열 수 있는 건 나 자신뿐이다. 원하지 않는 사람이 내 금고 안에 있는 내용(개인정보, 비밀번호 등)을 보는 것은 기밀성이 침해된 것이다. 위에서 나온 경우처럼 모르는 사람이 나의 개인정보를 함부로 변경할 때, 개인정보를 보..