전체 글 썸네일형 리스트형 시도응답(challenge-response) 시도-응답 인증(challenge-Response Authentication) 기존 ID+PW 방식은 재전송 공격에 취약하다. challenge-Response Authentication은 이런 취약점을 보완하기 위해 대칭기 비반의 소지기반 보안을 추가한 인증 방법이다. challenge-Response Authentication에서 중요한 개념은 일회성 인증이다. 인행의 시크리트 카드보다 OTP가 보안성이 훨씬 좋은 것과 같은 맥락이다. 사용자가 인증을 원할 경우 서버에선 사용자에게 일회성 Challenge를 보낸다. 사용자는 이를 비밀키로 암호화하여 서버에 Response한다. Challenge는 일회성으로 난수로 예측할 수 없고 매번 다른 값으로 바뀌어야 한다. 이런 방식이라면 해커가 중간에 Res.. 더보기 크라임웨어 [Crimeware] 크라임웨어 개인정보 유출, 피싱 등 온라인 범죄행위를 용이하게 하는 소프트웨어, 크라임웨어 온라인상에서 불법활동을 조장하기 위해 만들어진 컴퓨터 프로그램. 공격용 툴킷이라고 불리며 보통 취약점을 이용하도록 미리 프로그램된 악성코드 등으로 구성돼, 원하는 형태로 공격을 감행하거나 공격을 자동화할 수 있다. 인터넷에서 곧바로 사용할 수 있으며 키로거를 은밀히 설치해 불법적으로 정보를 수집해 가는 경우도 있다. 더보기 워너크라이(WannaCry) 사용자의 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 랜섬웨어의 일종이다. 2016년 미국국가안보국(NSA)이 도난당한 해킹툴을 활용한 것이 특징이다. 2017년 5월 12일에 배포되기 시작해 순식간에 전세계 100여개국으로 확산되는 등역사상 전례가 없는 최악의 해킹으로 간주되고 있다. 워너크라이는 마이크로소프트(MS) 윈도 운영체제의 취약점을 파고들어 중요 파일을 암호화한 뒤 파일을 복구하는 조건으로 300∼600달러(한화 34만∼68만원)에 해당하는 비트코인(가상화폐)을 요구하고 있다. *전파 경로 및 배후 워너크라이는 인터넷 네트워크에 접속만 해도 감염된다. 윈도 파일 공유에 사용되는 서버 메시지 블록(SMB) 원격코드의 취약점을 악용해 네트워크를 통해 유포되기 때문에 취약한 컴퓨터는.. 더보기 OWASP Top10 2017 (2013 과 2017 비교) (변화된 내용 출처 : http://blog.naver.com/renucs/220981325968) A1. 익젝션 ○ 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부로 보내질때 발생하는 취약점 - SQL, LDAP, XPath, SSI 인젝션 A2. 인증 및 세션관리 취약점 ○ 취약한 암호, 키 또는 세션 토큰을 제공하여 다른 사용자의 권한이 노출되는 취약점 - 세션 예측, 불충분한 세션만료, 세션고정, 쿠기변조 A3. 크로스 사이트 스크립팅 ○ 적절한 유효성 검사 또는 이스케이프 처리 부재로 악의적인 스크립트를 삽입할 수 있는 취약점 - 악성콘텐츠, 크로스사이트스크립팅 A4. 취약한 접근 제어 ○ 인증된 사용자만이 수행할 수 있는 기능에 권한 제한이 부재하여 기능 조작이 .. 더보기 양자암호통신(Quantum) 양자암호화란? 양자암호학에는 두가지 채널이 사용된다. 광자 하나하나에 신호를 실어 보내서 통신하는 양자채널(quantum channel)과 기존의 통신망을 활용하는 퍼블릭채널(public channel)이 있다. 퍼블릭채널은 일반적으로 기존의 TCP/IP 프로토콜을 활용한다. 1984년 C. H. Bennet과 G. Brassard가 양자암호에 대한 논문을 발표하면서 같이 제안한 양자암호 통신 프로토콜이다. 송신자(엘리스)와 수신자(밥) 사이에 OTP를 생성하는 프로토콜이며, 표와 같이 0비트의 상태를 나타내는 편광 2가지와 1비트의 상태를 나타내는 편광 2가지를 정의 한 다음 십자필터와 대각필터를 통해 측정하게 된다. 이 프로토콜을 통해 엘리스와 밥은 임의의 난수를 생성할 수 있으며, 중간에 도청자(이.. 더보기 Fog Computing -fog computing architectur- 포그 컴퓨팅(Fog Computing)은 방대한 양의 데이터가 발생되는 IoT 시대에 대비해 모든 데이터를 원거리의 클라우드로 보내는 대신 데이터 발생 지점 주변에서 선별적으로 분석, 활용 가능하도록 시스코가 새롭게 제안한 아키텍처이다. 방대한 양의 데이터를 먼 곳에 있는 커다란 데이터 서버에 저장하지 않고, 데이터 발생 지점 근처에서 처리하는 시스코의 기술. 데이터에 빠르게 반응할 수 있다는 장점이 있다. 예컨대 도로에서 구급차가 감지되면 신호등을 즉각적으로 초록불로 바꿔주는 스마트 교통 신호 등에 사용될 수 있다. 더보기 Decision Tree Decision Tree------------------------------------------------------------------------------------------------------------------------------- I. 데이터마이닝 분석의 대표적인 분석방법, Decision Tree의 개요가. Decision Tree(의사결정나무)의 정의- 의사결정 규칙을 도표화 하여 관심 대상 집단을 몇 개의 소집단으로 분류하거나 예측을 수행하는 계량적 분석 방법나. Decision Tree의 특징- 분류는 정확도는 낮지만, 분류 과정의 이해 및 설명이 용이- 주어진 데이터를 분류하는 목적으로 사용(예측 사용 불가) II. Decision Tree의 개념도 및 구성요소가. Deci.. 더보기 SLA(Service Level Agreement) SLA(Service Level Agreement) I. 안정적인 서비스 지원 및 품질 향상을 위한 SLA의 개요가. SLA(Service Level Agreement)의 개념- 서비스수준협약(Service Level Agreement, SLA)은 SLM을 통해 작성, 관리되는 정보 시스템 운영 아웃소싱을 위한 계약 혹은 계약서를 의미하며, 정보시스템 운영관리를 위한 다양한 측면에서의 성과척도를 제공하고 이를 만족하기 위한 활동들을 명시하고 있음- SLA는 서비스수준관리(Service Level Management, SLM) 측면에서 수행되며, 정보시스템을 통해 지원할 수 있는 업무의 영역이 확대되고, 이에 따른 시스템 운영환경이 복잡해짐에 따라 정보시스템 아웃소싱의 편의성과 효율성 측면에서 그 도입이 .. 더보기 이전 1 ··· 6 7 8 9 10 11 12 ··· 17 다음
