SQL Injection.SQL Injection = SQL 인젝션.웹 페이지의 입력값을 통해서 SQL 명령어를 주입하고 관리자 또는 기타 다른 계정으로 접근하여 DB조작 등을 하는 해킹방법을 말한다. SOAP.SOAP = Simple x-object Access Protocol = 단순 객체 접근 프로토콜.웹 서비스 메시징 표준으로써 HTTP를 사용하여 80번 port XML로 정의된 메시지를 전달,방화벽 통과,SSL을 통한 암호화 및 인증 보안 기능을 제공한다.
#Security
OWASP-2017 PART 2. Related Link => https://www.owasp.org/index.php/Main_Page A6.민감 데이터 노출.다수의 웹 애플리케이션과 API는 금융,건강,개일 식별 정보와 같은 중요한 정보를 제대로 보호하지 않는다.공격자는 신용카드 사지,신분 도용 또는 다른 범죄를 수행하기 위해 보호가 취약한 데이터를 훔치거나 수정할 수 있다.중요한 데이터는 저장 또는 전송할 때 암호화 같은 추가 보호 조치가 없으면 탈취 당할 수 있으며, 브라우저에서 주고 받을 때 각별한 주의가 필요하다. [출처:보안뉴스 제공] A7.공격 방어 취약점.대부분의 애플리케이션과 API에는 수동 공격과 자동 공격을 모두 탐지하거나 방지,대응할 수 있는 기본 기능이 없다.기본 입력 유효성 검..
OWASP-2017 PART 1. Related Link =>https://www.owasp.org OWASP = Open Web Application Security Project는 조직에서 신뢰할 수 있는 애플리케이션과 API를 개발, 구매, 유지 관리할 수 있도록 지원하는 열린 커뮤니티.비영리재단인 OWASP는 상업적인 목적 or 이윤 압박이 없기 때문에 애플리케이션 보안에 대해 공정하고 효율적인 정보를 제공하고 있다. OWASP Top10은 8개의 컨설팅 회사와 3개의 제품 공급업체를 포함해 애플리케이션 보안 전문 업체의 11개 대형 데이터셋을 기반으로 작성된다. 2017년 버전은 2013년 이후 두 가지 항목이 신설되었다. 취약한 공격 방어 항목이며, 다른 하나는 취약한 API 항목이다. OWA..
WAP.WAP = Wireless Application Protocol = 무선 응용 프로토콜.WAP은 휴대폰이나 PDA 등의 무선망에서 인터넷 서비스를 효율적으로 제공하기 위해 정의된 응용 프로토콜로서 무선망에 적합한 정보 제공 및 무선망 서비스 제어 등에 사용되는 표준 지침을 말한다.초기에 무선 인터넷을 위한 기술 표준은 무선 인터넷 기술을 갈망하던 개별 기업들에 의해 발전되어 오다가 공식적이고 세계적인 표준이 필요하다는 인식하여 Motorola,Nokia 등이 공통된 표준 개발을 위해 1997년 12월 WAP 포럼을 만들었다.WAP은 기존 서비스에 대한 채널 제공과 24시간 언제든지 고객에게 다가갈 수 있는 완전한 가능성을 제공함으로써 은행 및 전자상거래 관련 회사들에게 새로운 E-Bankinge-..
TLS.TLS = Transport Layer Security = 전송계층 보안.네트워크 상에서 통신하는 어플리케이션과 사용자들간에 보안을 위한 프로토콜. 서버 및 클라이언트가 통신시 도청,간섭,위조를 방지하고 전송 계층 종단간 보안 및 데이터 무결성을 확보해준다. WTLS.WTLS = Wireless Transport Layer Security certificate = 무선 전송 계층 보안 프로토콜 인증서.무선 환경의 특성을 고려하여 유선 PKI환경의 X.509v3의 인증서를 단순화 시킨 인증서를 말한다.WAP에서 정의한 인증서 규격으로 주로 무선에서 사용되는 인증서 형태다.
Google Chrome Removes HTTPS Site "Safe" Mark. 세계 최대 웹 블라우저 크롬을 운영하는 구글이 오는 7월부터 보안 서버가 적용된 HTTPS 웹페이지는 '안전함'으로 표시하고 그렇지 않은 HTTP 사이트는 '안전하지 않다'는 경고 표시를 적용해야 한다고 발표했다. 국내는 HTTP가 적용된 웹 사이트 비중이 높아서 해킹 위험에 취약하다. 구글은 최근 블로그를 통해 '7월부터 크롬 브라우저의 모든 HTTP 웹에 안전하지 않음'이라는 보안 경고를 붙이기로 결정했다.웹 주소가 HTTP로 시작되는 사이트를 방문하며 주소창에 경고가 뜬다라고 발표했다. 위의 캡쳐는 크롬 브라우저가 HTTPS 웹사이트 주소를 표시하는 방식이고 2018년 5월 현재 초록색 안전한 글자와 자물쇠 그림을 보..
GDPR. GDPR이란 유럽 연합[EU]의 개인정보 보호를 위한 공통법으로 개인정보,신용카드,금융 및 의료 정보 등의 주요 데이터가 저장되거나 전송되는 위치 및 방법,정보에 접근할 시 적용되는 정책 또는 감사에 대한 관리감독을 요구한다.EU내 기업 뿐만 아니라 미국 및 기타 국가의 기업까지 세계적으로 확대 적용되어,EU 국가에서 비즈니스를 하거나 EU기업과 비즈니스를 하는 모든 기업에게 적용되기 때문에 국내 기업에게도 영향을 미친다.정식 시행일은 2018년 5월 25일이다. EU에서는 1995년부터 개인정보 보호를 위한 EU 개인정보 보호지침[Directive 95/46/EC]를 시행하고 있었다.2016년 4월 14일 대체하는 GDPR이 유럽의회로부텉 승인이 된 상태인 것이다.GDPR은 이전 Direct..
ISO 27001. 먼저 ISO 27001이란 국제표준화기구(ISO: International Organization for Standardization) 및 국제전기기술위원회(IEC:International Electrotechnical Commision)에서 제정한 정보보호 관리체계에 대한 국제 표준이자 정보보호 분야에서 가장 권위있는 국제 인증이다.2013.10월에 ISO27001:2013으로 버전이 업데이트 되었다.ISO 27001:2013 규격은 정보의 지속적 접근성,기밀성 및 무결성 뿐만 아니라 법규 준수 또한 가능하게 하는 정보보안경영시스템,즉 ISMS의 프레임워크를 제공한다.ISO 27001 인증은 가장 중요한 가산을 보호하는데 필수적이다.ISO 27001 실행은 데이터 보호법과 같은 고객..
