4차산업혁명의 일꾼/웹개발

우아한테크코스 - 네트워크와 보안 & 웹보안

르무엘 2023. 6. 29. 17:00

(1) [10분 테코톡] ⛄️ 에드의 네트워크 보안 - YouTube

 

보안은 자산을 외부 위협으로 부터 보호한다.

네트워크 보안은 TCP/IP (1980년대) 

보안의 3요서는 기밀성, 무결성, 가용성인데,

네트워크 공격 유형으로 스니핑(패킷 도청으로 기밀성 해침) ,스푸핑(패킷변조로 무결성 해침), Dos(Denial  of Service -가용성을 해침)

 

TLS(Transport Layer Security)는 전송계층의 보안 프로토콜로, 대칭키를 통한 암호화를 제공하고, 메시지 인증코드(MAC)을 통한 데이터 인증을 제공한다. 연결과정에서 서버 인증제공한다.

 

TLS의 연결과정 handshaking - client 생성한랜덤값, 암호화 방식 목록, tls인증서

 

TCP뿐만 아니라 UDP까지 포호하는 IPsec이 있는데 AH와 ESP프로토콜이다.

 

방화벽은 트래픽 차단 및 필터링, 접근제어 , 외부 불법 침입 차단, 내부 정보 유출방지, 내/외부 네트워크 상호간의 영향을 차단하기 위해 존재한다.

방화벽 구축후 IDS 와 IPS 방식이 있는데

IDS는 침입을 탐지하고 IPS는 침입을 막는다.

이 IPS는 방화벽과 함께 사용하면 효율적이다.

 

이 외에도 망분리를 하면 보안이 강화된다.

물리적으로 망분리하면 가장 강력하나

PC기반 가상화나 네트워크 서버기반으로 가상화로 논리적 망분리를 할 수도 있다.

 

(1) [10분 테코톡] 바니의 웹 보안 - YouTube

웹보안 SQL INJECTION 과 XSS!!

 

OWASP( Open Web Application Security Project) 라는 비영리 보안 프로젝트 재단.

 

SQL Injection은 코드 인젝션의 기법 중 하나로,

클라이언트의 입력값 조작을 통해 서버의 Database를 공격하는 방식이다.

 

에러메세지 노출을 차단해야한다.

입력값에서 사용가능한 특수문자 제한~!

특수문자(-- , (, ),  , ) 필터링

 

Prepared Statements (JDBC Template 이 이것을 사용 , JPA도 파라미터 바운딩을 통해 SQL인젝션에 대응)

 

 

 

Cross Site Scripting - XSS 

 

Reflected XSS- 공격자가 사용자에게 악성 스크립를 메일이나 웹사이트를 통해 전달하고 사용자가 실행하도록 하는 공격 기법

 

XSS 대응 방안은 입/출력  값 검증 필터링~! ( 특수문자를 자동으로 변환)

LIST