아닌 자바 애플리케이션을 감염시킨다. 대부분의 시스템에서는 자바가 디스크에 접근하지 못하게 설정되어 있는 등 제약이 있으므로 일반인에게 크게 문제가 되지 않는다.
covert channel
1. 개요
은닉 채널
기본 채널에 기생하는 통신 채널로 신호 대 잡음 비를 축소해서 기본 채널의 대역폭을 축소시킨 것이다.
2. 구성도
3. 특징
① 은닉 메시지는 다른 사람이 눈으로는 볼 수 없으며, 송신자와 수신자만이 알 수 있음.(예를 들면, 스테가노그라피에서 숨겨진 메시지를 사진 속에 부호화하여 보내면 사진을 보는 사람은 보지 못하지만 수신자는 이미지 안에 있는 메시지를 추출해 낼 수 있다.)
② 어떤 존재가 허가되지 않은 방식으로 정보를 받는 방법.
③ 보안 메커니즘에 의해 통제되지 않은 정보의 흐름.
DB concurrency control
1. 개요
DB 병렬성 통제, 병행 제어.
여러 트랜잭션의 병행 수행으로 인한 문제를 제거하는 방법을 병행 제어라 한다.
2. 구성도
3. 특징
① 목적 : 공유도와 시스템 활용도는 최대한으로, 응답 시간은 최소로.
② 필요성 : 여러 사용자가 공유된 데이터베이스를 동시접근 시 여러 문제가 발생 가능.
③ 주요 병행 제어 방법
- 록킹(locking)
2단계 록킹 (2PL : Two-Phase Locking)
성장 단계(growing phase): 객체를 사용하기 전에 잠금.
축소 단계(shrinking phase): 한번풀기 시작했으면, 더 이상 잠그지 못함(이 방법을 따르는 트랜잭션들이 여러 개 섞여 실행되면 직렬성 만족.)
- 타임스탬프(timestamp)
트랜잭션 판독/갱신한 데이터 항목에 대해 타임스탬프 부여.
트랜잭션에 대한 타임스탬프(트랜잭션이 시스템에 들어오는 순서대로 부여된 고유값, 트랜잭션의 실행 시작 시간을 나타냄.)
4. 장단점
다중 사용자 환경에서는 여러 개의 트랜잭션이 섞여서 실행되는 데 이러한 병행실행은 특별한 제어 방법을 사용하지 않을 경우 손실 등의 문제를 야기한다.
병행 제어를 안 할 때에는 갱신손실, 일관성 깨짐, 회복 불능의 문제점이 따른다.
SQL injection, XSS
1. SQL injection
1.1 개요
SQL 주입 공격
웹 클라이언트의 반환 메시지를 이용하여 불법 인증 및 정보를 유출하는 공격이다.
1.2 구성도
1.3 특징
① MS SQL 서버뿐만 아니라 모든 관계형 데이터베이스 관리 시스템(RDBMS)에서 가능.
② 보호대책
- 데이터베이스와 연동을 하는 스크립트의 모든 파라미터들을 점검하여 사용자의 입력 값이 SQL injection을 발생시키지 않도록 수정.
- 사용자 입력이 SQL injection을 발생시키지 않도록 사용자 입력 시 특수문자가 포함되어 있는지 검사하여 허용되지 않은 문자열이나 문자가 포함된 경우에는 에러로 처리.
- 웹 애플리케이션이 사용하는 데이터베이스 사용자의 권한을 제한.
1.4 장단점
① 다수 사이트, SQL Injection 취약점 공격에 무방비 상태.
② 사용자 인증을 비정상적으로 통과할 수 있음.
③ 데이터베이스에 저장된 데이터를 임의로 열람할 수 있음.
④ 데이터베이스의 시스템 명령을 이용하여 시스템 조작이 가능.
2. XSS
2.1 개요
Cross Site Scripting,교차 사이트 스크립팅.
줄여서 CSS인데 스타일시트와 혼동된다고 C를 X로 바꿔서 XSS라고 보통 불리 우며, 클라이언트 스크립트나 Tag 등을 통해 이용한 악의적인 명령어 주입 공격이다.
애플리케이션의 입력 값에 Javascript와 같은 스크립트를 삽입하여 사용자 측에서 비정상적인 조작이 일어나도록 하는 것이다.
2.2 구성도
2.3 특징
① 서버를 대상으로 공격하는 것이 아니라 사용자를 공격 대상으로 함.
② Session ID나 Cookie값을 가져오거나 Cookie값 변조 등에 이용.
③ 스크립트는 부적절한 시큐리티 컨텍스트(security context)에서 부적절한 권한으로 실행됨.
④ 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격.
⑤ 웹 애플리케이션에 클라이언트로부터 악의적인 데이터를 받아들일 때에 발생할 수 있음.
⑥ XSS의 두 가지 유형
- client-to-client 방식 : 한 클라이언트에서 다른 클라이언트로 악의적인 코드가 전달되는 것이다. 게시판에 글을 쓴다든지 하는 방식으로 악의적인 코드를 전달할 수 있다.
- client-to-itself 방식 : 악의적인 코드가 공격 대상이 되는 클라이언트 자신이 보내서 자신이 되돌려 받는 유형이다. 이러한 형태의 공격은 주로 이메일이나 웹 페이지를 통해 링크를 제시하고 사용자가 그러한 링크를 클릭하도록 유도하는 방식으로 이뤄진다.
2.4 장단점
XSS가 발생하면 서버나 클라이언트 양자 모두 이 문제가 발생했는지에 대해 인지하기 어렵고 따라서 방어하기도 힘들다.
Accreditation
1. 개요
인정(Accreditation)
특정 제품 또는 서비스를 인증해 주는 인증기관을 심사하고 평가하여 사후관리를 통하여 관리, 감독함으로써 객관적이고 독립적으로 심사하여 증명해주는 것을 말한다. 인정이란 용어대신 "지정"이란 용어가 사용되기도 한다.
2. 특징
① 인정업무를 수행하는 기관을 인정기관이라 하며, 각국별로 한 개의 인정기관이 경영시스템 인정업무를 수행.
② 인정기관(Accreditation body)
인증기관이 특정 산업 분야에서 회사를 심사할 능력이 있는지를 평가하고 승인하고 인증기관의 전문성을 검증하여 소비자 또는 구매자에게 신뢰감을 줌으로써, 인정된 기관으로부터 인증을 받았다는 것을 미 인정된 인증에 비해 월등한 상업적 가치를 갖게됨.(인정기관은 국가별로 통상1개의 인정기관을 두고 있으며, 세계적으로는 영국의 UKAS(United Kingdom Accreditation Service)가 최초의 인정기관이며, 대한민국을 대표하는 인정기관으로서는 산업자원 부 산하의 사단법인으로서 한국인정원 KAB(Korea Accreditation Board)이 있다.)