IT 인프라 기초 3요소- 서버, 네트워크, 스토리지- 위 3요소를 기반으로 돌아가는 다양한 소프트웨어가 존재함, DB는 굉장히 중요함 데이터베이스 개념 및 용어- 데이터베이스 개념: 여러 사람이 공유하여 사용할 목적으로 체계화해 통합, 관리하는 데이터의 집합, 응용 프로그램들이 사용하는 정보를 통합 저장하여 운영할 수 있는 공용 데이터들의 묶음- DB가 사용되는 곳: 게시판 글 작성 시 DB에 저장, 개인정보 및 ID/PW DB에 저장- 사용자가 특정 웹 사이트에서 결과물을 확인하고 싶으면 서버는 DB에서 저장된 정보를 가져와서 출력해줌- 엑셀도 일종의 데이터베이스 - DBMS: Database Management System, 사용자들이 DB안에 있는 데이터를 접근할 수 있도록 해주는 소프트웨어 ..
스토리지 개념 및 종류- 스토리지: 저장장치를 다수 장착한 대용량 고속 저장 장비로 서버 및 클라이언트와 네트워크로 연결해서 사용- 저장장치: 컴퓨터의 데이터를 저장하기 위한 비 휘발성의 기억 장치 - 스토리지는 데이터 저장뿐만 아니라 데이터 공유 목적으로 주로 사용됨- 서버에 장착된 디스크 용량이 부족할 경우, 다수의 사람들과 데이터를 공유할 필요가 있을 경우 스토리지를 활용- 데이터 관리 및 보호를 위한 별도의 소프트웨어 탑재 RAID- 스토리지 데이터 저장 방식: RAID, Redundant Array of Inexpensive/Independent Disks- 비싸지 않은/독립적인 다수의 디스크들의 배열, 집합- 여러 개의 디스크를 하나의 디스크 모듈로 구성, 디스크 읽기/쓰기 성능 향상 및 장..
네트워크 개념서버는 우리 몸의 눈,코,입,팔,다리 등 각각의 역할을 하는 기관으로 볼 수 있다.네트워크는 여러 기관과 상호작용하기 위한 혈관으로 볼 수 있다. - 네트워크(Network) : Net + Work, 그물을 짜는 행위 → 그물처럼 연결된 상태를 뜻함- IT 네트워크의 시작: 1960년대, 미국에서 하나의 거대한 메인프레임의 성능을 다수의 사람이 동시에 활용할 수 있도록 하기 위해 여러 대의 단말기를 메인프레임과 전화선으로 연결함, 이것이 네트워크의 시작 - 단말기들을 메인 프레임(Main Frame)과 전화선으로 연결- 메인 프레임의 성능을 단말기들이 나눠서 사용- 1개 전화선으로 연결 시 동시에 사용 불가(예전에 전화와 컴퓨터 동시에 사용 불가한 원리와 동일)- 각 단말기별로 전화선이 ..
서버와 클라이언트- 서버: 클라이언트에게 네트워크를 통해 정보나 서비스를 제공하는 장치- 클라이언트: 네트워크를 통하여 서버에 접속해 정보를 확인하거나 서비스를 이용하는 장치 클라이언트와 서버 둘 다 컴퓨터다. 서버의 역할 및 종류- 웹 애플리케이션을 구성하는 서버의 종류 - 웹 서버: 정적 콘텐츠(HTML, CSS, 텍스트, 이미지 등)을 클라이언트에 전달 - 애플리케이션 서버: 동적 콘텐츠(DB와 연결되어 데이터 송수신, 프로그램으로 데이터 조작 등)을 클라이언트에 전달 - 데이터베이스(DB) 서버: 애플리케이션의 정보를 저장해서 운영, 관리할 수 있는 데이터베이스를 구동하는 서버 - 리버스 프록시 서버: 클라이언트와 서버가 서로 데이터를 주고받을 수 있도록 전달(로드밸런싱 역할 가능), 애..
1) URL 접근 제한 미흡 취약점이란 무엇인가?URL 접근 제한 미흡 취약점(Failure to Restrict URL Access Vulnerability) 인증 또는 인가된 사용자가 접근이 가능한 페이지(관리자 페이지, 회원 전용 페이지)에 대해서 접근 제한이 존재하지 않거나, 접근 제한이 존재하지만 우회하여 접근할 수 있는 취약점→ 관리자 페이지에 일반 사용자가 접근, 인증하지 않은 사용자가 접근하는 경우 실무에서 자주 발생하는 취약점- SQL Injection, XSS, 파라미터 변조, URL 접근 제한 미흡 취약점 어플리케이션 기능 개발을 우선으로 하다보니 보안이 최우선이 아닌 경우 어쩔수 없이 취약점이 발생함. 2) 인증과 인가에 대한 이해Authentication(인증) vs Aut..
1) 파라미터 변조 취약점이란 무엇인가?Parameter Tampering Vulnerability사용자 입력값인 파라미터를 통해서 액션이 이루어지는 기능에 대해서 악의적인 사용자가 파라미터를 변조하여 악의적인 행위를 하는 공격 정상 요청 hxxp://www.test.co.kr/mypage.jsp?id=hacker공격 요청 hxxp://www.test.co.kr/mypage.jsp?id=admin 별도의 공격 페이로드가 없음.idx=100 을 idx=101 로 변경했더니 101번 게시글(비밀글)이 확인된다.→ 파라미터 변조에 의한 공격 2) 공격 원리 분석정상 동작 예시1) 사용자는 id가 guest 인 mypage.jsp 를 요청2) 어플리케이션에서 DB로 id가 guest 인 정보를 요청3) ..
