Replicated

배경정보수집(DFD) Data Flow Diagram추상적인 수준에서 전체 구성 요소, 제품, 시스템의 데이터 흐름을 표시 레벨을 나눠 그리기도 함. Level 0 -> 1 -> 2이건 레벨 0 더 자세하기 그려지면 이렇게 됨 다이어그램의 완성도와 일관성을 검증하려면 데이터의 출처가 잘 정의되었는지 확인하고,데이터 유실을 피하고 데이터가 항상 프로세스를 통과하는지 체크해야 함  위협 모델 만들기 및 분석 (STRIDE)Spoofing (위장)Tampering (데이터 변조)Repudiation (부인)Information disclosure (정보 유출)Denial of service (서비스 거부)Elevation of privilege (권한 상승) 시스템에서 발생할 수 있는 위협(취약점을 이용한 공..

Confidentiality, Integrity, Availabilty공격이 있더라도 원하는 속성들을 보장해야 함기밀성 - 도청, 암호화 .. 와이어샤크, 네트워크 패킷 캡처무결성 - 리패키징, 바이러스, 웹 프록시를 통한 변조가용성 - 랜섬웨어, 디도스 .. 보안은 시스템을 내외부의 고의적인 공격으로부터 방어하는 것을 다루고,개인이 정보를 탈취하거나 손상시키거나 다른 방법으로 혼란을 의도적으로 초래하는 것들이 공격에 포함됨1. 비인가된 접근2. 시스템 메모리에 대한 악의적인 접근3. 멀웨어등으로부터 컴퓨터 시스템은 보호되어야 함 Secuity = 위협, 리스크, 취약점으로부터 안전한 상태Confidentiality, Integrity, Availability, Authentication, Authori..

Software Security Threat 역공학, 코드 탬퍼링, 딜리션, 포크 밤, 프라이버시, 버퍼 오버플로우, 루팅... 굉장히 다양한 공격에 대해 막아야 함 STRIDE에 대응되는 보안 속성 AINCAA Spoofing (위조) Authentication (인증) Tampering (변조) Integrity (무결성) Repudiation (부인) Non-repudiability (부인 방지) Information disclosure (노출) Confidentiality (비밀성) Denial of Service (서비스 거부) Availability (가용성) Elevation of Privilege (권한 상승) Authorization (권한 부여) 각 대응되는 속성을 공격자는 뚫으려 할 ..

위협의 종류는 크게는 4가지, 세세하게는 6가지로 볼 수 있다. Interuption(가로막기) 송신자는 보냈는데 수신자는 못받게 하는 경우 ex) Dos Interception(가로채기) 송신자가 수신자에게 보내는 정보를 도청 감청. ex) 와이어샤크를 이용한 패킷 감청, 소프트웨어 불법 복제 Modification(변조) 송신자가 보내는 정보를 공격자가 중간에서 수정, 변조 ex) 웹 프록시를 장악해서 정보 변조, 리패키징 어택(사인 변조), 광고 바꿔치기, 펌웨어 업데이트 바꿔치기 등 Fabrication(위조) 송신자가 보낸 적이 없는 걸 공격자가 송신자인척 보냄 ex) 피싱, 파밍, 백도어 구분해보기 Eavesdropping on communication, Wiretapping telecommu..