404 Page Not Found

블록암호화 사용때 적용할 수 있는 방식NOTE: 블록암호화 = 데이터를 일정 크기의 블록으로 나누어 각 블록을 암호화하는 것.CBC모드는 이 블록들을 `연결'하는 특별한 방식을 제공[CBC모드 작동 방식]1. 초기화 벡터 (IV)- 첫번째 블록을 암호화하기 전, 이 블록과 XOR연산을 수행할 초기화 벡터 (IV)를 무작위로 생성.- IV는 각 암호화 세션마다 고유함.2. 첫번째 블록 암호화- 첫번째 블록와 IV를 XOR연산하고, 그 결과에 대해 암호화를 수행함.3. 연쇄적 암호화- 두번째 블록부터 앞서 암호화된 블록의 결과를 현재 블록과 XOR연산한 후 암호화를 수행함.- 따라서 이전 블록들과 연결되어 암호화되기때문에 각 블록의 암호화가 서로 영향을 줌.[복호화]암호문 블록을 복호화 한 뒤, IV 또는 ..

대칭 키 암호화: 동일한 키를 암호화와 복호와에 사용하는 암호화 방식으로, 빠르고 대량 데이터 처리에 효율적임* AES (Advanced Encryption Standard): 높은 보안성, 빠른 처리속도로 제일 널리 사용된다.* DES (Data Encryption Standard): 현재는 보안성이 낮아 사용을 권장하지 않음. AES전에 널리 사용되던 암호화 표준* 3DES (Triple DES): DES보안 문제 해결을 위해 3번 연속해서 암호화하는 방식. DES보다 보안성이 높고, AES보다 느림* Blowfish/Twofish: 블록 암호화에서 사용되는 알고리즘.[Symmetric Encrpytion Key Exchange]대칭 키 암호화의 가장 큰 도전 -> 안전하게 키를 교환하는 것.- Pr..

데이터를 숨기는 기술- 암호학과는 다르게 암호화된 메시지 자체가 타인의 주목을 끌 수 있다는 점에서 차별화됨.- 이미지/오디오 파일/비디오 파일 등 매체 파일 (커버 텍스트) 내에 데이터를 숨기는데 사용된다.- 숨겨진 데이터는 특별한 소프트웨어나 알고리즘 없이 인지할 수 없음.- 디지털 워터마킹: 저작권 보호를 위해 워터마크를 숨기는 데에도 해당 기술이 사용될 수 있다.NOTE: Kali Linux에서 steghide를 사용해 `steghide embed -cf  -ef ' 를 통해 숨기거나 `steghide extract -sf '을 통해 숨겨진 데이터를 추출해볼 수 있다.

[GDPR, General Data Protection Regulation]유럽 연합 (EU) 의 데이터 보호 및 프라이버시 관련 규정EU 내부 혹은 EU 시민의 개인 데이터를 처리하는 모든 기업에 적용됨.* 데이터 주체의 권리: 개인은 자신의 데이터에 대한 접근, 정정, 삭제(잊혀질 권리), 데이터 처리 제한, 이동성에 대한 권리를 가진다.* 데이터 보호 원칙: 명시성, 목적의 제한, 데이터 최소화, 정확성, 저장 제한, 무결성 및 기밀유지, 책임 등의 원칙에 따라 처리해야함.* 데이터 보호 책임자 (DPO): 특정 조건을 충족하는 조직은 데이터 보호 책임자를 임명해야함.* 데이터 침해 통지: 데이터 침해가 발생한 경우 `72시간 이내'에 해당 국가의 감독기관과 데이터 주체에게 이를 통지해야함.NOTE..

고의로 장치나 시스템에 해를 입히려는 개인/그룹.[Threat Actors 유형]- Cybercriminals, 사이버 범죄자금전적 이익을 목적으로 범죄를 저지름. `랜섬웨어, 피싱사기 등`NOTE: Carbanak (Anunak) - 금융기관 대상 범죄그룹 / REvil - 정부/기업 대상 대규모 랜섬웨어 공격으로 악명높음.- Nation-state actors, 국가 주도 행위자: 국가/정부가 후원하여 중요 데이터 도난, 기밀정보 수집, 다른 정부의 핵심 인프라 방해 등의 목적으로 활동. `스파이, 사이버 전쟁`NOTE: APT28 (Fancy Bear) - 러시아 정부 / Lazarus Group - 북한- Hacktivists, 해킹 활동가: 정치적/사회적 의제를 추진하기 위해 해킹 기술을 사용함..

[Risks, 위험]잠재적 손실이나 피해를 입을 수 있는 가능성보안 위반 사건이 발생할 확률 + 그로인한 잠재적 영향의 조합- 데이터 유출 위험 (직원이 이메일로 잘못 고객 정보를 전송하는 경우...)- 서비스 중단 위험 (DDoS공격을 받아서 서비스가 장시간 중단되는 경우...)- 내부자 정보 침해 위험 (직원이 중요한 정부를 외부에 공개하거나 삭제해버리는 경우...)[Threats, 위협]정보 시스템의 보안을 해칠 수 잇는 모든 잠재적인 원인- 고의적 공격 (해킹, 바이러스, malware)- 자연재해 (화재, 홍수, 지진)- 실수 (구성오류, 사용자 실수)- etc...[Vulnerabilities, 취약점]시스템, 네트워크, 소프트웨어 등 정보 기술 환경에서 발견되는 보안상의 약점.- 소프트웨어 ..

[Confidentiality, 기밀성]정보가 권한이 있는 사람들에게만 접근 가능하도록 보호하는 것.- 암호화- 접근 제어 목록 (ACLs)- 네트워크 보안 프로토콜[Integrity, 무결성]정보가 정확하고 완전한 상태. 즉, 무단변경되지 않는 상태로 보호하는 것.- 해시 알고리즘- 디지털 서명- 권한 관리 정책[Availability, 가용성]필요할 때 정보에 접근할 수 있도록 하는 것.- 데이터 백업- 재해 복구 계획- 네트워크 성능 최적화

웹보안 취약점으로서, 공격자가 응용 프로그램이 데이터베이스에 보내는 쿼리에 간섭할 수 있게 하는 것.공격자는 이를 통해 정상적으로 접근할 수 없는 데이터를 조회/수정/삭제할 수 있음. [SQLI 탐지 방법]테스트세트 수행을 통해 수동으로 탐지할 수 있음.- 단일 따옴표(')를 제출해본다.- 원래값으로 평가되는 SQL특정 구문을 사용하고, 다른값으로 평가되는지 확인한다.- OR 1=1 / OR 1=2 와 같은 Boolean 조건을 사용하고 응답에서 차이를 찾아본다.- 시간지연을 유발하는 페이로드를 설계하고 응답시간에서 차이를 찾아본다.- 외부 네트워크 상호작용을 유발하는 OAST 페이로드를 사용하고, 발생하는 상호작용을 모니터링한다. 또는 Burp Scanner와 같은 도구를 사용할 수 있음.  [SQLI..

[MAC 주소]하드웨어의 물리적 구조- Network Interface Card (NIC) 에 고유하게 할당된 12자리의 16진수로 구성됨.- 네트워크상 기기들을 물리적으로 식별하는데 사용.- 네트워크 장비를 제조할때 할당되고, `변경되지 않음'.- LAN 내에서 사용되고, 기기가 연결될 때 데이터 패킷의 전송 대상을 식별하는 데 사용된다.[IP 주소]네트워크의 논리적 구조- IPv4 (32 비트), IPv6 (128비트)- 네트워크 상의 기기들을 논리적으로 식별하고, 데이터 패킷이 올바른 목적지까지 도달할 수 있도록 경로를 제공- WAN, LAN 등 네트워크 전반에 걸쳐 사용됨.- DHCP를 통해 자동으로 할당받거나 네트워크 환경에 따라 `변경된다'.

[Cryptoanalysis]암호화된 메시지를 해독하거나 암호 시스템의 취약점을 발견하기위한 기술적 분석암호의 약점을 찾아내서 정보를 복구하거나 더 안전한 암호 시스템 개발을 위해 사용됨. `Caesar Cipher, ROT13 등`[Brute Force Attack]가능한 모든 키 조합을 시도하여 암호화된 데이터를 해독하는 방법 `무작위 대입: 현관키 비밀번호 0000~9999까지 모두 시도해보기`🎂Birthday Attack🎂====================함수의 충돌 취약점을 이용하는 공격 방법 생일문제와 비슷하게 충분히 많은 수의 무작위 입력값들을 해시 함수에 적용하면 두개의 서로 다른 입력값이 동일한 해시를 생성할 확률이 높다는 걸 이용해 충돌을 찾아내 암호화 시스템을 속일 수 있다.- ..