분류 전체보기251 [DVWA] CSP Bypass CSP Bypass CSP(Content Security Policy)는 XSS(Cross-site scripting) 및 injection 공격을 비롯한 특정 유형의 공격을 탐지하고 완화하는 데 도움을 주는 추가 보안 계층입니다. 기본적인 구현은 Content-Security-Policy라고 불리는 HTTP 헤더를 기반으로 합니다. Low Level 소스 코드 Low level의 소스 코드에는 콘텐츠 허용 목록에 4개의 주소(pastebin, example, code.jquery, ssl.google-analytics)를 추가해 정책이 적용되지 않도록 설정되어있습니다. 여기서 주목해야할 부분은 pastebin.com입니다. pastebin.com은 사용자가 플레인 텍스트를 저장할 수 있는 웹 애플리케이.. 2019. 11. 25. 보안 모델 (접근 통제, 접근 제어) 보안 모델 벨-라파듈라 모델(BLP, Bell-LaPadula Confidentiality Model) 미 육군에서 근무하던 벨-라파듈라가 고안해낸 군사용 보안 정책이다 오직 기밀성을 강조하는 MAC(Mandatory Access Control)모델이다. 허가된 비밀 정보에 허가되지 않는 방식의 접근을 금지한다. 정보의 불법적인 유출을 막기위해 개발된 최초의 수학적 모델이다. 주체는 특정 보안 허가를, 객체는 특정 보안 분류를 할당받고 이를 기반으로 접근을 판단한다. 읽기, 쓰기, 추가, 실행 4가지의 접근 모드를 정의한다. 벨-라파듈라 모델의 보안 규칙 단순 보안 규칙(No Read Up) : 주체는 자신보다 높은 보안 수준의 객체를 읽을 수 없다. 주체의 보안 수준이 객체와 동일한 보안 수준이거나 객.. 2019. 10. 31. 접근 통제 기술 접근 통제 기술 제한된 인터페이스(Restricted Interfaces) 특정 시스템이나 정보 요청/시스템 자원 접근을 통제하여 사용자의 접근 기능을 제한하는 방법 제한된 인터페이스 3가지 유형 쉘(Shells) : 일반 사용자가 실행할 수 있는 명령어를 제한. 셀은 OS의 명령어 해석기 역할을 담당한다. 데이터베이스 뷰 : DB 안에 있는 데이터에 대한 사용자 접근 제한 물리적 제한 인터페이스 : 결제 시스템 사용 시 입력 가능한 키 랜덤 배치 등등 임의의 접근 통제 기법(DAC) 접근 제어 행렬(Access Control Matrix) 행렬을 이용하여 주체, 객체, 접근 권한의 관계를 기술하는 방법 주체를 행(row), 객체를 열(Column)으로 구성하고 셀에 접근 권한을 기록한다 권한 부여 정책.. 2019. 10. 31. 접근 제어 / 접근 통제 모델(Access Control Model) 접근 제어 / 접근 통제 사람이나 프로세스가 시스템이나 파일에 읽기, 쓰기, 실행 등의 접근 여부를 허가하거나 거부하는 기능을 말한다. 보안 정책에 근거하여 접근을 승인하거나 거부함으로써 비 인가자에 의한 불법적인 자원 접근 및 파괴를 예방한다. 접근 제어 절차 단계 설명 접근 매체 식별 (identification) 시스템에게 주체의 식별자를 요청하는 과정 (본인이 누구라는 것을 시스템에게 밝히는 과정) 인증 서비스에 스스로를 확인시키기 위해 정보를 공급하는 행위 각 사용자들은 시스템이 식별할 수 있는 유일한 식별자(ID)를 가진다. 사용자명 계정번호 메모리카드 인증 (Authentication) 사용자 정보를 확인하는 보안 절차 허가된 사용자인지 확인하고 인정하는 과정 패스워드 토큰, 스마트카드, 생.. 2019. 10. 30. 티스토리 안전하지 않은 콘텐츠 차단됨 문제 해결 방법 안전하지 않은 콘텐츠 차단됨 문제 크롬을 사용하는 경우 블로그에서 위와 같은 경고문이 뜨는 경우가 있습니다. 안전하지 않은 스크립트를 로드 하게 되면 URL 좌측에 주의 요함 경고가 생기면서 HTTPS 연결이 사용되지 않았다고 나오는 문제 해결 방법입니다. 1. 티스토리 블로그 관리 -> 스킨 편집 블로그관리 메뉴의 꾸미기 - 스킨 편집으로 들어갑니다 2. 스킨 편집 -> html 편집 스킨 편집 페이지 우측 상단에 있는 html 편집에 들어갑니다. 3. HTML 부분과 CSS부분의 http을 https로 수정 HTML과 CSS에서 http로 설정된 부분을 Ctrl+F를 사용해 https로 고쳐줍니다. Ctrl+G로 계속 찾을 수 있습니다. 이후 적용이 완료되면 경고문이 사라지게 됩니다. 2019. 10. 29. [Oracle] Oracle 연습문제 1 Oracle 연습문제 1 1. 덧셈 연산자를 이용하여 모든 사원에 대해서 $300의 급여 인상을 계산한 후 사원의 이름, 급여, 인상된 급여를 출력하시오. select ename, sal, sal+300 from emp; 2. 사원의 이름, 급여, 연간 총수입을 총수입이 많은 것부터 작은 순으로 출력하시오. 연간 총수입은 월급에 12를 곱한 후 $100의 상여금을 더해서 계산하시오. select ename, sal, sal*12+100 from emp order by sal*12+100 desc; 3. 급여가 2000을 넘는 사원의 이름과 급여를 급여가 많은 것부터 작은 순으로 출력하시오. select ename, sal from emp where sal > 2000 order by sal desc; 4.. 2019. 10. 29. 이전 1 ··· 34 35 36 37 38 39 40 ··· 42 다음
