보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

Internet Protocols and Service Denial 우선, 이 장에선 인터넷 프로토콜을 위협하는 공격을 알아보자. DDos/Dos 공격 공격자가 사용자의 IP address나 도메인을 훔쳐 spam 을 보내 내ip나 domain이 블랙리스트에 등록되게 한다. 공격자가 나에게 엄청난 traffic을 발생시켜 내 서비스를 불가능하게 하는 공격 이때, 감염된 컴퓨터를 통해 트래픽을 내 ip주소에 보내는데 이를 botnet이라고 한다. Botnet : Command & Control인 중앙집중형에서 벗어나 모든 좀비들이 C&C가 될 수 있는 분산형 방식으로 진화중 BGP 공격 BGP란? Border Gateway Protocol의 약자로, Router가 따라야하는 프로토콜을 의미한다. 여러 AS..

이번장에선 Access control의 두번째 파트, 인가에 대해 다루겠다. Authorization 인가란? 사용자, 시스템이 어떤 동작을 할 수 있게 권한을 부여하는 것. 특정 리소스에 접근권한을 부여하는 것을 의미한다. 특히 요즘은 카카오, 네이버등 소셜 계정으로 로그인을 하는 경우가 많다. 이때 카카오, 네이버는 클라이언트 App에게 사용자의 정보에 관한 접근 권한을 부여해야한다. 따라서 이를 위한 프로토콜이 필요한데, 대표적인 예가 OAuth 2.0이다. OAuth 2.0 인증/인가와 관련된 framework로 외부에서 다른 서비스에 제한된 접근을 가능하게 한다. RFC 6749에 명세를 따라, access tokens을 어떻게 발행할지에 관한 프로토콜이다. 이를 통해 제3자가 서버의 특정 리소..

총 6가지 실습을 진행했다. 간략하게 무엇이 문제인지, 해결방안은 무엇인지를 구분해 정리해보자. Broadcast Receiver 결함 broadcast Receiver 외부 권한 / 외부로부터 Intent받을 수 있음. 공격자가 악의적인 intent 이를 수신하고 처리하는 과정에서 onReceive 함수가 현재 비밀번호를 로그로 남김 로그 확인 --> 기존 비밀번호 알 수 있음. 해결 exported = false; 외부 권한 차단 Intent-filter를 통해 접근할 수 있는 액티비티를 제한함. 취약한 인증 메커니즘 로그인 이후 수행되어야할 액티비티들이 있음. ㅎㅐ당 액티비티들을 am을 통해 강제 실행할 수 있음. 해결 exported=false로 외부 접근 차단 액티비티 컴포넌트 취약점 공격자가 ..

Protocol이란? 특정 그룹안에서 상호규약, 규칙 종류 Human protocol Networking protocol : HTTP, FTP Security Protocol : 시스템 보안성을 위해 지켜야하는 규약 몇몇 알려진 보안 프로토콜들은 이미 이슈가,, wep, gsm,,, 구현하는 와중에 오류가 발생할 수 있음 Ideal Security Protocol Must statisfy security : 보안 요구사항이 만족되어야함 Efficient : 최소한의 연산, 대역폭, 딜레이,, Robust : 공격에도 견고해야하고 환경변화에도 괜찮아야함 Easy to use and implement, flexible : 사용, 구현이 용이해야함. Very Simple Authentication 단순히 비밀..

Access Control 사용자의 특정 접근을 제어하는 것 인증 : 너가 진짜 너가 맞아? 기계 --> 인간 인증 기계 --> 기계 인증 (network protocol) 인가 : 너가 그걸 하도록 권한이 허용되어있니? 두 가지 개념을 합쳐서 관리하는 것을 접근 제어라고 함. Authentication : 인증 인증은 다음과 같이 3가지에 base를 둔다. Something you know : 비밀번호 Something you have : smartcard Something you are : 생체인식 비밀번호 something you know의 예시 Random이라고 생각하지만 사실 그렇지 않음. 사실 여러가지 문제가 많음. - 사람들은 기억하기 쉬운 것으로 비밀번호를 생성함. 그리고 그것을 여러 사이..

이 장에서는 앞서 다루지 않았던 암호화 유형에 대해 다룰 것이다. Public Key Encryption Digital Signature에 대해 다룰 것이다. Public Key Encryption := 비대칭키 알고리즘 사용자의 공개키와, 비공개키가 쌍을 이루어 암호화, 복호화를 진행한다. 보내고 싶은 메시지를 수신자의 공개키로 암호화하면 수신자는 자신의 비공개키로 이를 복호화하여 메시지를 확인한다. 공개키는 공개되어 있어 누구나 특정 수신자에게 메시지를 보낼 수 있지만 비공개키는 수신자 자신만 알고 있기 때문에 암호화된 메시지는 수신자 자신만 읽을 수 있다. Crypto based on factoring : 인수분해를 활용한 암호화 엄청 큰 하나의 합성수를 두 소수로 인수분해하는 것이 어렵다는 점에서..