본문 바로가기
반응형

정보보안4

[정보보안] JSON Web Token(JWT) 설명 참고: https://jwt.io/introduction JSON Web Token(JWT) 이란? JSON Web Token(JWT)은 당사자 사이의 정보를 JSON 객체로 안전하게 전송하기 위한 방법을 정의하는 개방형 표준(RFC 7519)입니다. 이 당사자 간 정보는 디지털 서명되어 있으므로 검증되었고 신뢰할 수 있습니다. JWT는 비밀번호(HMAC 알고리즘 사용) 또는 RSA, ECDSA를 사용한 공개/개인 키 쌍으로 서명할 수 있습니다. JWT는 당사자 간 보안을 제공하기 위해 암호화할 수도 있지만, 이보다는 서명된 토큰에 더 초점이 맞춰져 있습니다. 서명된 토큰은 해당 토큰에 포함된 claim의 무결성을 증명하지만 암호화된 토큰은 다른 당사자에게 claim을 숨길 뿐 입니다. 토큰이 공용/개인.. 2023. 3. 2.
[정보보안] Seven pernicious kingdoms: 소프트웨어 보안 에러의 분류 참고: Seven pernicious kingdoms: a taxonomy of software security errors 참고: CWE VIEW: Seven Pernicious Kingdoms소스코드 상의 보안 문제를 다룰 때 같은 종류의 문제끼리 범주화 하면 언제 발생할지 모를 피해를 최소화할 수 있고 소스코드 작성 시 발생할 수 있는 실수를 줄일 수 있습니다. 이 문제는 ieee 저널에 기고된 일곱가지 위협 분류를 통해 알아볼 수 있습니다.Input Validation and Representation - 입력 데이터 검증 및 표현메타문자, 대체인코딩 및 숫자표현으로 인해 입력 유효성 및 표현 문제가 발생합니다. 때로는 개발자들이 입력값 검증을 전혀 안하기도 하는데, 일단 검증을 할꺼라면 블랙리스.. 2019. 2. 12.
[정보보안] 윈도우즈의 주요 로컬 보안 정책과 설명 (secpol.msc) '로컬 보안 정책'은 사용자 컴퓨터의 보안 설정을 변경할 수 있는 도구로, 로컬 보안 정책 설정창을 여는 방법은 '윈도우버튼+r'을 누르고 secpol.msc를 입력하여 사용합니다.암호는 복잡성을 만족해야 함 설명: 이 보안 설정은 암호가 복잡성 요구 사항을 만족해야 하는지 여부를 결정합니다.사용자의 계정 이름이나 연속되는 문자 2개를 초과하는 사용자 전체 이름의 일부를 포함하지 않음길이가 최소한 6자 이상이어야 함다음 네 가지 범주 중 세 가지의 문자를 포함해야 함영문 대문자(A - Z)영문 소문자(a - z)기본 10개 숫자(0 - 9)알파벳 이외의 문자(예: !, $, #, %) 최근 암호 기억 설명: 이 보안 설정은 기존 암호를 다시 사용하기 위해 먼저 사용자 계정에 연결해야 하는 고유한 새 암호.. 2016. 5. 23.
[정보보안] dns cache poisoning (dns spoofing, dns 스푸핑) dns cache poisoning은 인터넷 트래픽을 합법적인 서버에서 가짜 서버로 돌리는 domain name system(dns) 취약점 공격 방법 중 하나입니다. dns 스푸핑이 위험한 가장 큰 이유는 잘못된 정보가 한 dns에서 다른 dns로 퍼져나가기 때문입니다. - dns의 작동 방법dns는 도메인 이름과 ip 주소를 연결시켜주는 거대한 분산시스템입니다. 컴퓨터가 'naver.com' 같은 도메인에 접근하려 할 때, 가장 먼저 이미 설정된 dns 서버에 접속합니다. 이때 dns 서버는 'naver.com'에 도달할 수 있는 하나 이상의 ip 주소를 보내줍니다. 그러면 사용자의 컴퓨터는 숫자로된 ip 주소로 직접 연결을 시도하게 됩니다. dns는 사람이 읽기 쉬은 'naver.com' 같은 주소.. 2016. 4. 22.
반응형