전체 글20 4월 첫째 주 보안뉴스 퀀티넘 양자 난수 생성기, 美 NIST 인증 획득https://www.boannews.com/media/view.asp?idx=136765&skind=D 퀀티넘 양자 난수 생성기, 美 NIST 인증 획득퀀티넘은 자사 소프트웨어 방식 난수 생성기(QRNG) ‘퀀텀 오리진’이 미국 국립표준기술연구소(NIST) 인증을 획득했다고 밝혔다.www.boannews.comQRNG(Quantum Random Number Generator)전통적 난수 생성기(PRNG)는 결정론적 알고리즘 기반 → 예측 가능성 있음QRNG는 양자 현상의 불확정성을 기반으로 비결정적, 진정한 난수를 생성기존 QRNG는 일바적으로 하드웨어 기반 (예를 들면 광자, 전자스핀 등)퀀텀 오리진은 소프트웨어 기반으로 QRNG 구현 -> 기존대비 확.. 2025. 4. 6. 자동차 통신 및 네트워크 이번 커넥티드카 해킹 카테고리는 커넥티드카 해킹(알리샤나이트) 책을 읽으며, 더 깊이 있는 이해를 하고자 만든 카테고리이다.우선, 자동차 통신과 네트워크 개념을 깊이 이해하기 위해서는 몇 가지 기본적인 기술 개념을 먼저 공부하기 위해 여러 문서를 찾아보았다.기본이 되는 개념에 대해 알아보자!차량용 통신은 차량 내 수십 개의 제어기들이 서로 안정적으로 정보를 공유하고 전달하기 위해 사용되는 유선 통식 방식이다. 그리고 차량용 네트워크는 다양한 방식으로 구성 가능하지만, 일반적으로 버스 구조를 가진다. CAN, LIN, Ethernet, FlexRay와 같은 다양한 통신 프로토콜을 사용하는 다양한 네트워크들이 각각 존재하며, GateWay로 연결된다. 기본 개념 네트워크 통신네트워크 통신은 두 개 이상의 장.. 2024. 10. 7. IDS, IPS, 방화벽 IDS (Intrusion Detection System) 개념- 침입탐지시스템- 네트워크 내에서 발생하는 모든 트래픽을 모니터링하고, 비정상적인 행동이나 침입 시도를 탐지- 트래픽을 실시간으로 모니터링하며, 문제를 탐지하면 경고를 발생시켜 관리자가 대응할 수 있도록 함- 작동 방식: IDS는 네트워크의 모든 트래픽을 분석하는 패킷 스니핑 기법을 사용하여, 패킷의 내용을 검사하고, 미리 정의된 패턴(서명)이나 비정상적인 행동(행위 기반 탐지)을 기반으로 침입을 탐지 종류- 호스트 기반 (HIDS : Host-based IDS)개별 호스트(서버, 워크스테이션 등)의 활동을 모니터링하고, 침입 시도를 탐지하는 시스템운영체제에 설치된 사용자 계정에 따라 어떤 사용자가 어떠한 접근을 시도하고 작업을 했는지에 대.. 2024. 8. 27. 스니핑(Sniffing), 스누핑(Snooping), 스푸핑(Spoofing) 스니핑(Sniffing) 개념- sniff : 코를 킁킁거리다- 네트워크상에서 자신이 아닌 다른 상대방들의 패킷 교환을 훔쳐보는 행위오고가는 패킷을 탈취해서 정보를 얻는 것네트워크를 통해 전송되는 민감한 정보(예: 로그인 자격 증명, 금융 데이터 등)를 도청 가능 종류- 스위치 재밍 공격 Switch Jamming Attack네트워크 스위치가 MAC 주소 테이블을 기반으로 포트에 패킷을 스위칭할 때 정상적인 스위칭 기능을 마비시키는 공격스위치는 자신이 가지고 있는 MAC 테이블의 저장 공간이 가득 차게 되면서 네트워크 패킷을 브로드캐스트 함스위치가 관리하는 MAC 주소 테이블에 정보가 모두 입력되면 허브처럼 패킷을 브로드캐스트 하게 됨공격자는 위조된 MAC 주소를 끊임없이 스위치로 전달, 스위치는 위조된.. 2024. 8. 24. OWASP TOP 10 - WEB(2021) & Mobile(2024) OWASP Top 10 2021 - WEB A01:2021-Broken Access Control 손상된 접근제어- 접근제어가 제대로 되지 않아 사용자가 자신에게 허용되지 않은 기능이나 데이터를 액세스할 수 있는 문제- 대응방법 : 접근 권한 최소, 서버 측에서 모든 요청에 대해 접근 권한을 확인, 정책 기반 접근 제어 (PBAC) A02:2021-Cryptographic Failures 암호화 실패- 데이터 보호를 위한 암호화가 부족하거나 잘못된 방식으로 구현된 경우 발생하는 취약점, 데이터 유출 또는 위조 문제 발생 가능- 대응방법 : 최신 암호화 표준을 사용하고, 민감한 데이터를 저장하거나 전송할 때 반드시 암호화를 적용, 암호화 키 변경, 보안 정책 강화 A03:2021-Injection 주입- .. 2024. 8. 24. 모의해킹 웹 모의해킹 총론웹 서비스 (HTTP) 동작 구조- 사용자(브라우저) 방화벽&웹방환벽 웹서버(기본적인 html 코드나 이미지 처리) 웹 어플리케이션(WAS) 데이터베이스HTTP Request- Method--> GET: 자원요청, POST : ENtity를 포함한 자원 요청- PUT/Delete는 위험한 기능을 갖고 있어서 안쓰거나 꺼 둠- GET Method 구조 : URL + Query String--> Get Method는 바디가 따로 없음- POST 구조 : Header + BodyHTTP Response 구성- 빈 공백 1줄- 400 페이지 없음- 403 권한 없음- 404 파일 없음- 500 : 인터넷 서버 에러 --> 컴파일이 제대로 되지 않은 것 (.하나 더 찍었든가 등등)Sessi.. 2024. 8. 13. 이전 1 2 3 4 다음
