모해요

리눅스 보안(1)

보호되어 있는 글입니다.

보안 설계 패턴패턴이란 - 잠재적인 위협을 처리하는 도구 상자패턴을 적용할 시에는 필요성과 단순성을 고려하고 과용하면 안된다.(오버헤드의 위험이 있음) 1. 설계 속성 패턴 그룹전체적인 관점에서 설계가 어떻게 보이는지를 설명- 설계의 경제성 패턴: 설계가 단순해야한다.(단순할수록 버그는 줄어듦)- 투명한 설계 패턴: 설계를 공개했을 때, 시스템 공략이 불가능하다는 점을 보여줄 수 있음. 비밀성에 의존해서는 안됨. 예를들어 암호 시스템에서 암호화 알고리즘은 항상 공개되는 것이 원칙이다. 2. 노출 최소화 패턴 그룹안전한 쪽을 선택하는 것- 최소 권한 패턴: 작업에 필요한 최소한의 권한만 사용하낟., 공격자에게 권한들 적게줘서 활용할 수 있는 권한을 줄이게 함.- 최소 정보 패턴: 작업에 필요한 개인정보는 ..

1. 기존 시스템 모델과 새로운 시스템 모델에 대한 설명으로 옳지 않은 것은?① 기존 시스템 모델은 시스템이 엇을 어떻게 수행하는지 명확히 함을 목적으로 한다.② 기존 시스템 모델은 새로운 시스템 요구를 도출하는데에 활용된다.③ 새로운 시스템 모델은 이해관계자에게 설명하는데에 활용된다.④ 새로운 시스템 모델은 요구 사항 분석 초기의 관점이다.더보기④ 새로운 시스템 모델은 요구 사항 정의 및 설계 단계의 관점이다.  2. UML 다이어그램 종류에 따른 사용 목적이 올바르게 짝지어 지지 않은 것은?① 활동 다이어그램 - 작업 흐름이나 프로세스의 활동 단계를 표현② 상태 다이어그램 - 객체 지향 시슽메의 클래스와 그들 간의 관계 표현③ 사용 사례 다이어그램: 시스템과 사용자 간의 기능적 상호작용 모델링 ④ 시..

소프트웨어 개발 방법론 (SW 개발 방법론)소프트웨어를 개발한다는 것은 단순히 코드를 작성하는 것이 아니라, 컴퓨터에서 동작하는 프로그램을 통해 실제 문제를 해결하는 일이다. 이를 위해 다양한 소프트웨어 개발 방법론이 존재하며, 문제의 성격과 규모에 따라 적절한 방법론을 선택하는 것이 중요하다.  절차적 프로그래밍 (Procedural Programming)절차적 프로그래밍은 전통적인 프로그래밍 패러다임 중 하나로, 프로그램을 일련의 절차(또는 순서)에 따라 구성하는 방식이다. 주요 특징은 다음과 같다:**프로그램의 기본 구성 요소는 절차(Procedure) 혹은 함수(Function)**이다.자료구조, 알고리즘, 그리고 순차적인 흐름에 중점을 둔다.프로그램은 위에서 아래로 차례대로 실행되며, 각 절차는..

1. 시스템의 공격환경을 식별하고 해결하기 윈한것으로 Application의 보안에 영향을 미치는 모든 정보를 구조적으로 표현한 것을 무엇이라 하는가?더보기위협 모델링 2. 위협 모델링의 절차를 순서대로 나열하시오.ㄱ. Identifying threatsㄴ. Creating an application diagramㄷ. validating that threats have been mitigatedㄹ. Defining security requirementsㅁ. mitigating threats더보기ㄹ ㄴ ㄱ ㅁ ㄷ 3. 3단계 보안 제어 세부 정보 추가 및 해결 방법에 대한 설명으로 옳지 않은 것은?① 버그 수정이나 재디자인을 통해 위협 영향을 줄인다.② 다른 시스템이나 다른 팀에 문제를 이전한다.③ 문제가..

위협 모델링이란?시스템이 공격환경에 계속 노출되어 악용될 가능성이 높은데 이를 식별하고 해결하기 위한것application의 보안에 영향을 미치는 모든 정보를 "구조적으로" 표현한다.. 위협 모델링 절차0단계: security requirements 정의1단계: Creating an application diagram(시스템의 요구 사항 캡처 및 데이터 흐름 다이어그램 만들기)2단계: 위협 identifying3단계: mitigating threats(보안 제어의 올바른 조합을 사용해 문제에 접근하는 방법 결정)4단계 validating that threats have been mitigated(확인하는 과정)  https://learn.microsoft.com/ko-kr/azure/security/de..

PE Image란?PE 파일이 프로세스 메모리에 매핑된 모습 PE파일을 실행하면 유저부분에 프로세스가 올라간다.. 가상메모리에..PE 이미지에 대해서PE 파일이랑 해서 파일이랑 메모리 이미지해서 사진이 교재에 있는데 이건 앞부분에서도 했고.. 운체때도 맨날 공부했던 내용이라 그거 보는게 나을 듯 아무튼 PE 파일은 파일 할당이랑 섹션할당이 다르고 각 섹션에서의 raw data size랑 가상 사이즈랑 달라서 형태가 달라짐 PE Image Switching어떤 프로세스를 SUSPEND 모드로 실행한 후 다른 PE 파일의 PE 이미지를 매핑시켜 다른 프로레스 메모리 공가네서 실행하는 기법알맹이를 바꾸는 느낌.. 껍데기 냅두고.   예제파일https://github.com/reversecore/book/tre..

1. 프로그램의 개발 시간은 결함을 줄이면 줄일수록 짧아진다. (True/False)더보기False. 일정 수준까지는 짧아지지만 어느 시점을 넘으면 개발시간이 급격히 늘어난다. 2. 다음 중 소프트웨어 프로세스 모델에 대해 틀린 설명을 고르시오① 가장 전통적인 개발 모델은 폭포수 모델이다.② 폭포수 모델을 여러번 반복하면 점진적 개발이 된다.③ 점진적 개발에서는 작은 단위로 나누어서 개발한다.④ 폭포수 모델에서는 요구사항 변경이 용이하다.더보기④ 폭포수 모델은 이전 단계가 완료되어야 다음단계 진행이 가능한 모델로 체계적이지만 이전 단계의 변경이 어려워 요구사항의 변경이 쉽지 않다. 3. 특적 제품의 개별 취약점을 식별하는 것을 _________라고하며, 보안 취약점 유형을 정의하는 것은 _________..

프로그램과 소프트웨어프로그램: 소스코드, 목적코드소프트웨어: 프로그램 + 관련 산출물(문서, 시험수행, 실행 로그 등) 이걸 인슐림 펌프로 예시를 들어보면인슐린 펌프 시스템 개요 및 요구사항 요약1. 시스템 개요당뇨병 환자의 혈당 조절을 위한 임베디드 시스템혈당 센서 데이터 수집 → 인슐린 필요량 계산 → 마이크로펌프 작동혈당 변화율을 기반으로 적절한 인슐린 주입량 결정저혈당 → 뇌 기능 장애, 혼수상태, 사망 위험고혈당 → 장기적인 눈, 신장 손상2. 소프트웨어(시스템) 요구사항인슐린을 필요할 때 즉시 공급 가능해야 함정확한 인슐린 용량을 안정적으로 전달해야 함시스템이 항상 이 요구사항을 충족하도록 설계 및 구현되어야 한다 소프트웨어 요구 사항- 기능 요구 사항: ~~해야된다..- 비기능 요구 사항: ..

소프트웨어의 Threat의 분류개발과정 중의 어떤 위협이 있을까?내부 위협, 소프트웨어 엔지니어의위협, 개발 과정에서의 문제점 운영중의 위협으로는 내부 위협과 외부 위협, 공격자에게 노출된 취약성, 취약점 및 개발 오류를 공격하는 것 등이 있다. 소프트웨어 보안 위협의 근원- 소프트웨어 처리 모델의 복잡성, 부적절성 및 변경예시로 웹이나 서비스 지향 아키텍처 모델이 복잡하거나 변경되면 위협이 됨- 엔지니어의 잘못된 가정소프트웨어가 ~~가 실행될것이라는 가정하게 엔지니어가 설계하고 구현하지만 사용자는 그대로 사용하지 않음- 결함이 있는 사양 또는 설계 or 구현입력 값의 검증이 미흡하거나 오류처리나 예외처리에서 문제가 있을때, SW 실행 환경 구성 요소에 문제가 있을때- 소프트웨어 구성 요소 간 의도하지 ..