분류 전체보기236 Taint Analysis (오염 분석) 읽고 있는 논문: BoKASAN: Binary-only Kernel Address Sanitizer for Effective Kernel Fuzzing 이하 내용을 참고한 블로그 Taint Analysis (오염 분석): 메모리에 'taint' 값을 삽입하고, 데이터를 추적하여 프로그램의 어떤 곳에서 영향을 미치는지 관찰하는 분석 방식: 정적 분석과 동적 분석으로 구분함 Static Taint Analysis (정적 분석): source code를 parsing 해서 control flow diagram을 그려 모든 분기를 확인하는 분석 방식.: 동적 분석보다는 code coverage가 높으나, 런타임 정보에 접근할 수 없어서 레지스터나 메모리 값을 체크할 수 없기 때문에 동적 분석에 비해서는 정확하지.. 2024. 9. 22. Kernel Binary 읽고 있는 논문: BoKASAN: Binary-only Kernel Address Sanitizer for Effective Kernel Fuzzing A kernel binary refers to the compiled code of an operating system kernel, which is the core component responsible for managing system resources and communication between hardware and software. When the system boots, this binary is loaded into memory by the bootloader and executed by the CPU. In most systems, th.. 2024. 9. 22. 카테고리 설명 앞으로 정보보호 분야에 대해 공부하면서 논문 등에서 접하게 된 용어를 기록해놓기 위함. 2024. 9. 22. 14-1. 보안 전문가 요건 및 자격증 목표1. 보안 전문가로 성장하기 위한 방법 모색2. 보안 전문가로 성장하기 위해 배워야 할 것들을 알아봄 3. 자신에게 적합한 보안 및 IT 관련 자격증에는 무엇이 있는지 파악함 보안 전문가가 갖춰야 할 소양올바른 보안 전문가의 요건- 컴퓨터, 스마트폰 등의 IT 기기를 좋아해야 함- 컴퓨터와 관련한 다양한 분야를 이해해야 함- 체계적인 교육으로 인문/사회적인 분야에 대한 기본 소양을 갖춰야 함 TRIZ : '창의적 문제해결 이론'을 뜻하는 용어. 웹 해커가 갖춰야 할 소양기본 역량- HTTP 프로토콜을 통한 서버와 클라이언트의 통신 방식에 대한 이해 네트워크에서 어떻게 동작하고, 어떤 메시지를 주고 받고, 어떤 웹 서버가 존재하고, 이를 사용하기 위한 웹 프로그래밍 언어에는 무엇이 있고, 데이터베이스.. 2024. 8. 18. 13-3. 보안 인증과 보안 프레임워크 목표1. 보안 인증에 대해서 이해함2. 인증별 보안 등급을 이해함3. 보안 프레임워크에 담긴 보안의 각 요소를 살펴봄 보안 인증: 소프트웨어나 시스템에 대한 품 마크 TCSEC: 운영체제나 보안 솔루션이 보안 측면에서 받을 수 있는 가장 기본적인 인증 - 흔히 Orange Book이라고 부르며, Rainbow Series라는 미 국방부 문서 중 하나- 1960년대부터 시작된 컴퓨터 보안 연구를 통하여 1972년 지침이 발표됨.- 1983년 미국 정보 보안 조례로 세계에 최초로 공표. 1995년 공식화. 등급 D (Minimal Protection): 보안 설정이 이루어지지 않은 단계 C1 (Discretionary Security Protection): 일반적인 로그인 과정이 존재하는 시스템 - 사용자간.. 2024. 8. 18. 13-2. 보안 조직과 접근 제어 모델 목표1. 효과적인 보안 정책을 운용하기 위한 보안 조직의 구성을 알아봄2. 접근 제어 모델을 알아봄3. 내부 통제를 이해함 관리 부서의 한 부분으로 보안 조직을 운영하는 경우가 있음정보보호 관리체계를 위해서는 보안만을 담당하는 전담 조직으로 운영해야 함경영자의 의지도 중요함. 관리자는 임원급 이상 보안 조직시스템 운영팀의 하위에 보안 인력이 위치한 경우: 회사에 보안 인력을 두기는 했으나 가장 소극적인 형태로 둔 경우 - 보안 인력을 방화벽 운영이나 시스템에 대한 보안 패치, PC 보안에 한정함.- 관리적인 측면의 보안을 고려할 수 없을 뿐 아니라 IT 운영팀 내부에서도 직급이나 영향력이 낮은 경우가 많아 보안 정책을 통제로써 운영할만한 힘이 없음. IT 기획팀의 하위에 보안 인력이 위치한 경우- IT .. 2024. 8. 18. 이전 1 2 3 4 5 ··· 40 다음