본문 바로가기

SAN의 성장일지193

[캡슐화] 제거되지 않고 남은 디버그 코드 (3등급) 0. 개요 디버깅 목적으로 삽입된 코드는 개발이 완료되면 제거해야 한다.즉, 설정 등의 민감한 정보나 시스템을 제어하도록 허용하는 부분을 담고 있는 디버그 코드가 남겨진 채로 배포될 경우, 공격자가 식별 과정을 우회하거나 의도하지 않은 정보나 제어 정보가 노출될 수 있다. 1. 보안 대책 - 소프트웨어 배포 전, 반드시 디버그 코드를 확인 및 삭제한다.: 특히 JAVA개발 경우 디버그용도의 코드를 main()에 작성한 후 삭제하지 않는 경우가 많다. 잘 삭제하도록 하자. 2. 진단 방법 - 개발 중 사용한 테스트 목적의 디버그 코드가 존재하는지 확인 3. 코드 예시 # 1 - 제거되지 않고 남은 디버그 코드 - 안전하지 않은 코드 예시(JAVA) # 1 + 제거되지 않고 남은 디버그 코드 - 안전한 코드.. 2021. 8. 7.
[보안기능] 중요정보 평문저장 (3등급) 0. 개요 개인정보, 인증정보, 금융정보와 같은 중요 데이터를 암호화하여 저장하지 않아 제대로 보호되지 않을 경우, 보안이나 데이터의 무결성을 잃을 수 있다. 프로그램이 개인정보, 인증 정보등의 사용자 중요정보 및 시스템 중요 정보를 처리하는 과정에서 이를 평문으로 저장할 경우 공격자에게 민감한 정보가 노출될 수 있다. 1. 보안 대책 - 개인정보, 금융정보, 패스위드 등 중요정보를 저장할 때는 반드시 암호화하여 저장한다. : 서버의 DB나 파일 등에 저장되는 중요정보는 반드시 암호화한다. : 안전한 암호알고리즘과 암호기키를 적용한다. (보안요구항목) - 중요정보를 읽거나 쓸 경우에 권한인증 등을 통해 적합한 사용자만이 중요정보에 접근하도록 한다. : 설계 단계부터 주요정보가 다뤄지는 안전영역을 설정하고.. 2021. 8. 7.
42 서울 라피신 과정 (4기 1차) - WEEK 2. 호호호호 마지막으로 피신 관련 글을 쓴 지 3개월 만에 다시 돌아왔다. 알고리즘 스터디를 하면서 다시 티스토리를 잘 정리하려고 돌아왔는데 역시 공부는 너무 하기 싫고 이럴땐 잡답이나 하면서 기분을 환기해야한다. 마지막으로 쓴 글을 보니 밥 먹은거와 노미네이트 그리구 시험을 쓰겠다고 했더랬다. 가보자 기억은 더 희미해졌지만.....ㅎㅎ 0. 시험 42서울은 언제나 누구나 항상 스스로 가시밭길을 헤쳐나가야 하기에 많은 말을 남길 수는 없지만 그래도 위안 삼을 수 있는 말을 해보겠다. WEEK 0. 에서 말했듯이 첫 시험은 당황의 연속이었고 부끄럽지만 깃에 미숙하여 0점으로 나왔다. 나 또한 첫 시험을 보기 전에 시험에 대한 이런저런 썰로 구글을 다 뒤져 시험에 대한 팁을 얻고자 했으나 아무것도 찾을 수 없었.. 2021. 8. 2.
[데이터베이스] 01. 데이터 모델링 데이터 모델링 - 관계망 정리 - 데이터 간의 관계를 빠르게 한눈에 확인할 수 있도록 정리 데이터 모델링의 정의 - 현실세계 데이터 표현 - 고객과의 의사고통을 진행하여 고객의 업무 프로세스를 이해 - 고객의 업무 프로세스를 이해한 후 데이터 모델링 표기법을 사용하여 모델링 - 고객의 이해가 쉽도록 복잡하지 않은 모델링 - 고객 비즈니스 프로세스를 이해 및 규칙을 정의하고 정의된 프로세스는 데이터 모델링 표현 - 고객 업무 프로세스 추상화는 단순하게 하지만, SW 분석설계 단계가 올라갈수록 복잡하게 진행 데이터 모델링의 특징 + Abstraction (추상화) : 현실 세계를 간략하게 표현 + Simplification (단순화) : 누구나 쉽게 이해할 수 있도록 표현 + Clarity (명확성) : 이.. 2021. 5. 5.
[데이터베이스] 00. DBMS 데이터베이스 관리 시스템 보호되어 있는 글 입니다. 2021. 5. 5.
42서울 라피신 과정 (4기 1차) - WEEK 1. 음 사실 두번째부터 3번째주까지는 (그러니까 1-2week은) 비슷한 마음과 루틴으로 흘러갔다. 마음이 조급할지라도 과제를 풀 때 이해도 못했으면서 답만 내려고 하지 않았으며 사용한 문법을 완전히 이해하려고 최대한 노력했다. 그래서 해당 주들은 그 주에 대해 설명하기보다 키워드를 놓고 설명해볼까한다. 0. 동료평가 피신에 동료평가를 빼놓을 수 없지. 동료평가를 통해서 정말 많은 것들을 얻을 수 있었다. 0) 통과를 위한 답안 만들기가 아닌 문제에서 원하는 것을 공부하여 답안에 도착하기 단순히 과제를 해결하기 위해 겉핥기식으로 상황을 모면하다보면 결국엔 난관에 부딪힌다. 우선은 섬세한 동료를 만나면 밑천이 드러나게 되고 또 시험을 보기가 어렵고 갈수록 과제를 해결하기 위한 시간이 오래 걸린다. (풀 때마다.. 2021. 4. 30.
42서울 라피신 과정 (4기 1차) - WEEK 0. 이곳에서는 모든 수를 0부터 센다. 그래서 나도 따라할거다ㅎ WEEK 0. 코로나로 인해 라피신은 전체 인원을 반으로 나눠 월 수 토의 1그룹, 화 목 일의 2그룹으로 진행되었다. 나는 2그룹> 2021. 4. 29.
42서울 라피신 가기 전 (4기) 대외활동 기록도 그렇다할 포트폴리오도 없어서 고민하던 차에 또 지원하는 곳마다 떨어져서 낙심하던 차에 42서울을 지원하게 되었다. 아는게 없으니 떨어질 수 밖에ㅋㅋ ㅠㅠ 우선은 계속되는 낙방에 이제는 아르바이트니 뭐니 그만두고 공부에 집중해서 뭔가 결과를 얻어야겠다고 생각했으며 그러기 위해서는 생활비를 어떻게 해야할지 고민해야했다. 또한 같은 분야를 공부하는 사람들과 많은 커뮤니케이션이 이뤄질 수 있는 환경에 있고 싶었다. 이런 두가지 조건을 만족하며 현재 나의 상황에서 지원할 수 있다고 생각한 곳이 42서울이었다. 0. 온라인 TEST 먼저 42서울은 온라인 1차 신청을 하기 위해서는 온라인 TEST를 거쳐서 자격을 부여받아야 한다. 온라인 TEST는 1. 기억력 TEST / 2. 논리력(?) TEST.. 2021. 4. 28.
[웹해킹문제풀이] # hackCTF wise saying 2021. 2. 15.

티스토리툴바