컨설팅 컨설팅이란? 사적적 의미 '조언을 주는 것' 컨설팅 비지니스 관점에서의 의미 '단순한 조언ㅇ르 제공하는 것을 넘어 솔루션(Solution)을 제시' 프로세스 정보보호 요구사항 정의 범위 정의 현황 분석 취약점, 위협 정의 위험 평가 위험 개선 마스터플랜 수립 취약점 분석 관리 GAP 분석 네트워크, 보안시스템, 서버, Web/DBMS 진단 모의해킹 침투 테스트라고 불리기도 함 해커와 유사한 조건, Hacking Skill을 가지고 실시 어떤 방식으로 침해할 수 있는지 여부를 점검해보는 단계 종류 시나리오 기반 모의해킹 고객사와 협의 블랙박스 모의해킹 정보 제공받지 않음 Red Team 외부 침투자 Blue Team 방어를 수행 Purple Team Red와 Blue 팀을 통제 업무절차 사전 협의 ..
웹 서비스 공격 분류 웹 해킹은 웹 서비스를 대상으로 발생하는 해킹을 이야기한다. 주로 웹사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 또는 파괴와 같은 행위를 말한다. 정의 및 종류 웹 해킹 웹 서비스를 대상으로 발생하는 해킹 웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴하는 행위 종류 웹 엔진을 이용한 해킹 Apache, IIS 취약점 등 웹 서버 및 미들웨어를 이용한 해킹 OS, JEUS, WebLogic, WebSphere, 취약점 등 주로 웹 애플리케이션을 이용한 해킹 SQL Injection, XSS, 파일 업로드/다운로드 취약점 위험성 위험성 웹에서 이용되는 구간 전 범위에서 1차 피해 발생 2차 공격으로 인한 추가 범위 공격으로의 ..
IT 인프라 구성 요소 IT 시각에서의 인프라 또는 인프라스트럭처는 IT 서비스의 기반이 되는 시스템 및 구조를 의미한다. 교재의 아래 내용은 네트워크 구성보다 주로 인프라를 구성하는데 사용되는 서비스를 다루는 데 초점을 맞추고 있다. 인프라 정의 인프라 사전적 정의 기반 시설, 기간 시설 또는 인프라스트럭처(Infrastructure) 경제 활동의 기반을 형성하는 기초적인 시설과 시스템을 의미 하천, 항만, 공학과 같이 경제 활동에 밀접한 사회 자본 최근에는 학교나 병원, 공원과 같은 사회 복지, 생활 환경 시설 등도 포함 IT 인프라의 사전적 정의 IT 서비스의 기반이 되는 정보 기술 구성 요소의 집합으로 광범위하게 정의 네트워크, 서버, 데이터베이스 등 IT 서비스의 기반이 되는 시스템 및 구조를 ..
실무에서 표현되는 보안 용어들 용어 정의의 필요성 용어 정의의 필요성 정보보안 관리 지침 및 절차에 걸쳐 명확하고 통일성을 갖춘 용어를 사용하여 오해와 오역을 예방하고 이견과 분쟁을 원활하게 해결하는 기준으로 활용한다. 자산의 관점에서의 보안 요소 보안 3요소 (기무가, CIA) 기밀성 허가 받지 않은 사람에게 노출되지 않음 무결성 데이터 흐름 중에 완전성과 정확성을 유지 가용성 자산의 계속적 이용을 가능하게 하는 것 키워드 자산(Asset) 회사가 보유한 가치를 지닌 것 영향(Impact) 보안 사고로 발생할 수 있는 정보자산에 대한 위험 및 비용 위협(Threat) 버그, 오류, 결함 등으로부터 피해를 받을 수 있는 모든 경우 위험(Risk) 주어진 위협이 자산의 취약점을 이용하여 자산의 손실과 손상..
개발시 API KEY, DB 정보 등을 노출한다면 보안상의 큰 문제가 있을 것이다. 그래서 우리는 파이썬 decouple 모듈을 사용해서 개발키의 노출을 최소화할 수 있다. Install $ pip3 install python-decouple Apply settings.ini [settings] TESTKEY=this_is_test_key main.py #!/usr/bin/python3 from decouple import config test_api_key = config("TESTKEY") print(test_api_key) settings.ini는 main.py 위치에 존재해야 한다. git으로 관리시에는 반드시 .gitignore 를 통해서 git에 push 되지 않도록 해야한다.
1. Apache (1) Certbot Certbot 패키지는 Ubuntu내에 존재하지만 Certbot 개발자들이 최신 버전의 Ubuntu 소프트웨어 저장소를 기준으로 꾸준히 제공해주기 때문에 최신 버전의 저장소를 사용할 것이다. 우선 Certbot를 위한 repository(저장소)를 추가한다. $ sudo apt update $ sudo apt upgrade $ sudo apt-get install software-properties-common $ sudo add-apt-repository universe $ sudo add-apt-repository ppa:certbot/certbot Certbot의 패키지를 설치한다. Apache $ sudo apt install python2-certbot-a..
