SEO

SET ㅇ 카드사용자, 상점, 게이트웨이간에 안전한 채널 제공 ㅇ 신용카드번호가 상점에는 알려지지 않고 지불게이트에게 알려짐 ㅇ 상점에 의한 사기 가능성 감소 ㅇ 서명 기능이 있어 부인방지 서비스 제공 ㅇ 속도가 상대적으로 느리다. SSL ㅇ 카드사용자와 상점간에 안전한 채널 제공 ㅇ 사용자의 신용카드를 상점에게 노출 ㅇ 상점에 신용카드 번호가 노출됨에 따라 사기의 위험 ㅇ 지불시스템 구현이 상대적으로 간단 ㅇ 서명 기능이 없어 부인방지 제공 안됨 ㅇ 고속 동작이 가능함 ㅇ 사용이 간편함

OWASP Top 10 2013 A1 인젝션(Injection) SQL, 운영체제, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 질의문의 일부분으로서 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못한 명령을 실행하거나, 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다. A2 인증 및 세션 관리 취약점 인증과 세션 관리와 관련된 어플리케이션 기능은 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹하거나 다른 구현 취약점을 공격하여 다른 사용자 ID로 가장 할 수 있다. A3 크로스 사이트 스크립팅(XSS) XSS 취약점은 어플리케이션이 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한 없이 웹 브라우저로 보낼 때 발생한..

보안 전자우편 시스템 설 명 PGP (Pretty Good Privacy) ㅇ Phil Zimmerman 개발 ㅇ 분산화 된 키 인증 ㅇ 구현이 용이 ㅇ 일반 용도의 보안성 ㅇ 많이 사용 PEM (Privacy Enhanced Mail) ㅇ IETF Internet 표준안 ㅇ 중앙 집중화된 키 인증 ㅇ 구현이 어려움 ㅇ 높은 보안성 (군사용, 은행 시스템) ㅇ 많이 사용되지 않음 PGP/MIME ㅇ 전자우편 메시지 표준 (MIME) 기반 ㅇ PGP 암호 기법 + 전자우편 시스템 ㅇ X.509 인증서 지원 안됨 S/MIME ㅇ RSA Data Security,Inc 개발 ㅇ 전자우편 메시지 표준 (MIME) 기반 ㅇ 다양한 상용 툴 킷 ㅇ X.509 인증 지원

1. 강제적 접근 통제(Mandatory Access Control) [내용] - 주체의 객체에 대한 접근이 주체의 비밀 취급 인가 레이블 및 객체의 민감도 레이블에 따라 지정되는 방식 - 주체와 객체의 접근은 주체의 비밀 취급인가와 객체의 민감도 레이블이 결정되면, 미리 정해진 접근 규칙에 따라 정의 - 규칙 기반 접근 통제(Rule-Based Access Control) 라고도 함 [권한부여] System [접근결정] Security Label [정책] 경직 [장점] 중앙집중, 안정적, 기밀성 보장, 통제용이 [단점] 구현 및 운영의 어려움, 성능/비용이 고가 [적용사례] 방화벽, 군대 2. 임의적 접근 통제(Discretionary Access Control) [내용] - 접근 권한을 객체의 소유자..