Thanks

도커와 쿠버네티스는 컨테이너와 오케스트레이선의 약칭 도커 컨테이너는 개발과 테스트를 거쳐 생산 단계로의 애플리케이션 이동 과정을 단순화했다. 도커와 쿠버네티스트는 응용프로그램의 구축 과 배치 방식에 새로운 변화를 가지고 왔다 도커와 쿠버네티스틑 하나의 스택이 아닌 마이크로서비스들의 모음 방식으로 변화 컨테이너 - 리눅스,윈도우 등의 최신 운영체제에서 지원 - 운영체제와 결리되어 있으며 자체완비된 초소형 환경에서 소프트웨어가 실행되게 하는 것이 컨테이너 - VM에 비해 군살이 적고 시작과 중단 속도가 빠르고 유연성과 이동성이 VM보다 뛰어나다 - 몇 초 안에 스핀 업과 다운 그리고 확장이 가능하여 클라우드와 같은 탄력적인 환경에 적합 * 스핀 업과 다운 : 컨테이너의 인스턴스를 뛰우고 다운 시키는 것 - ..

보안/java 2022. 8. 26. 19:12

[KISA Insight 2022 Vol.04] 메타버스와 NFT, 사이버보안 위협 전망 및 분석 가상세계를 구현하는 기술에서 환경으로 발전이 전망되는 메타버스(Metaverse) - 메타버스는 현실 공간의 정보(건물,사무실 내부, 공연장, 미술관 등)를 활용하여 사회 전반의 활동과 생활을 가상세계로 구현하는 기술이며 현실설계와 가상세계를 연결하는 매개체 - 비대면, 온라인 서비스 확대와 디지털 대전환으로 성장하고 있으며, 정보는 메타버스 기술 개발 및 서비스 활성화를 위한 정책을 추진하고 해외 주요 국가에서도 관련 정책을 마련하고 있거나 추진중 - 이와 함께 현실정보를 그대로 담아내어 분석하는 디지털 트윈과 메타버스가 융합되어 큰 시너지를 발휘하여 메타버스 환경으로 발전할 것으로 전망 정체된 토큰 이코..

보안 2022. 8. 20. 10:05

보안설계 기준 정의 및 설계시 고려사항 입력데이터 검증 및 표현 DBMS 조회 및 결과 검증 보안 대책 - 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해랴 한다 - 외부 입력값이 삽입되는 SQL질의문을 동적으로 생성해서 실행하지 않도록 해야한다 - 외부 입력값을 이용해 동적으로 SQL질의문을 생성해야 하는 경우 입력값에 대한 검증을 수행한 뒤 사용해야 한다 취약점 개요 데이터 베이스(DB)와 연동된 웹 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우 공격자가 입력 폼 및 URL 입력란에 sQL 질의문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안 취약점을 말한다 설계 시 고려사항 - 애플리케이션에서 DB연결로 데이터를 처리하는 경우 최소 권한이 설정된 계..

보안 2022. 8. 11. 22:20

HTTP 프로토콜 유효성 검증 보안대책 - 외부 입력값을 쿠키 및 http헤더정보로 사용하는 경우 HTTP 응답분활 취약점을 가지지 않도록 필터일해서 사용해야 한다 - 외부 입력값이 페이지이동(리다이렉트 또는 포워드)을 위한 URL로 사용되어야 하는 경우 해당 값은 시스템에서 허용된 URL 목록의 선택자로 사용되도록 해야한다 HTTP 응답분활 - 공격자가 HTTP요청에 삽입한 인자 값이 HTTP응답헤더에 포함되어 사용자에게 다시 전달될 때 개행문자를 이용하여 첫 번째 응답을 종료시키고 두번째 응답에 악의적인 코드가 주입되어 XSS 공격이 가능해 진다 신뢰되지 않은 URL로 자동 접속 연결 - 사용자의 입력값을 외부 사이트의 주소로 사용하여 자동으로 연결하는 서버 프로그램에서는 공격자가 사용자를 피싱(Ph..

보안 2022. 8. 11. 22:10

버퍼 오버플로우 스택(Stack)이나 힙(Heap)에 할당되는 메모리에 문자열 등이 저장될 때 최초 정의된 메모리의 크기를 초과하여 문자열을 저장하는 경우 버퍼 오버플로우가 발생한다 포맷스트일 사입 공격자는 외부입력값에 포맷 문자열을 삽입하여 취약한 프로세스를 공격하거나 메모리 내용을 읽거나 쓸 수 있다. 그결과 공격자는 취약한 프로세스의 권한을 취득하여 임의의 코드를 실행 할 수 있다 설계 시 고려사항 C나 C++ 같이 메모리를 프로그래머가 관리하는 플랫폼을 사용하는 경우 메모리 버퍼의 경계값을 넘어서 메모리를 읽거나 저장하지 않도록 경계 설정 또는 검사를 수행해야 한다 - 실행되는 시스템에 Non-excutable stack , 랜덤스택(ASLR), 스택가드(StackGuard)와 같은 메모리 보호 ..

보안 2022. 8. 11. 22:08

보안기능 인증대상 및 방식 보안대책 - 중요기능이나 리소스에 대해서는 인증 후 사용 정책이 적용되어야 한다 - 안전한 인증방식을 사용하여 인증우회나 권한 상승이 발생하지 않도록 해야 한다 - 중요기능에 대해 2단계(2factor)인증을 고려해야 한다 취약점 개요 중요기능이나 리소르를 요청하는 경우 인증이 되었는지를 먼저 확인하지 않고 요청을 처리하는 경우 중요 절보나 리소스가 노출될 수 있다 설계 시 고려사항 - 중요기능이나 리소스에 대해서는 인증 후 사용정책이 적용되어야 한다. 분석단계에 분류된 중요기능에 대해 인증 후 사용 정책이 반드시 적용될 수 있도록 한다. 각각의 중요기능에서 인증을 요청하도록 구현하는 것이 쉽지 않다 시스템 설계 시 중요기능을 분류하고 식별된 중요기능에 대해 일괄적으로 인증을 ..

보안 2022. 8. 11. 22:04

보안 기능 인증대상 및 방식 설명 : 중요정보,기능의 특성에 따라 인증방식을 정의하고 정의된 인증방식을 우회하지 못하게 설계 해야 한다 보안대책 - 중요기능이나 리소스에 대해서는 인중 후 사용정책이 적용되어야 한다 - 안전한 인증방식을 사용하여 인증우회나 권한 상승이 발생하지 않도록 해야한다 - 중요기능에 대해 2단계(2factor)인증을 고려해야한다 취약점 개요 중요기능이나 리소스를 요청하는 경우 인증이 되었는지를 먼저 확인하지 않고 요청을 처리하는 경우 중요정보나 리소스가 노출될 수 있다 설계시 고려 사항 중요기능이나 리소스에 대해서는 인증 후 사용정책이 적용되어야 한다 분석단계에 분류된 중요기능에 대해 인증 후 사용 정책이 반드시 적용될 수 있도록 한다 각각의 중요기능에서 인증을 요청하도록 구현하는..

보안 2022. 8. 11. 22:03

Kr.co.korea.www 1단계 kr 2단계 co 3단계 korea Host www 실제 도메인은 www.korea.co.kr Korea.co.kr 은 site 도메인이라 일반적으로 칭하고 www 부분은 변경할 수 있은 즉 host 마다 다르게 줄 수 있음

보안/java 2022. 8. 11. 22:02