정보보안 스토리

AWS-SCS 003 시험 후기시험 등록시험등록은 온라인을 통해서 신청 가능신청 URL : https://aws.amazon.com/ko/certification/certified-security-specialty/ certified-security-specialtyAWS Certified Security - Specialty는 AWS 클라우드에서 보안 솔루션을 만들고 구현하는 데 필요한 전문성을 검증합니다.aws.amazon.com 시험은 크게 온라인 / 오프라인으로 신청이 가능하고생각보다 오프라인 시험 신청 기관과 일정이 많다(서울기준).약간 컴활 느낌으로 생각하면 될듯 온라인의 경우(안해봄)캠설정이 필수고, 부정행위 방지를 위해서 캠으로 방을 비추는것과 소통은 영어로 한다는 단점이 명확했기에 처음부..

사전준비 1Claude Desktop 설치- Cluade Desktop 설치https://claude.com/download Download Claude | Claude by AnthropicDownload Claude apps for Mac, Windows, iOS, and Android. Install extensions for Chrome, Excel, PowerPoint, and Slack.claude.com- 운영체제에 맞는 설치프로그램 다운로드 및 설치 사전준비 2 jadx 설치https://github.com/skylot/jadx/releases 사전준비 3jadx-ai-mcp-plugin server 다운로드mcp 서버설정을 위해 jadx-ai-mcp plugin + server 다운로드..

보통 한글 파일에 대한 자동화 과정 중 발생하는 에러"한글을 이용하여 위 파일에 접근하려는 시도(파일의 손상 또는 유출의 위험 등)가 있습니다. 정상적인 작업 과정에만 접근을 허용하십시오." 팝업 발생"접근 허용" 이나 "모두 허용"을 눌러줘야 해결되는 상황입니다. 해결하기 위해서는 DLL추가 및 레지스트리 등록이 필요합니다. *한글과컴퓨터 공식 제공 https://developer.hancom.com/hwpautomation 개발 가이드개발 가이드developer.hancom.com 한글 오토메이션을 사용할 때 로컬 파일에 접근하거나 저장하려고 하면 보안 승인 메시지가 나타납니다. 첨부된 ‘보안모듈(Automation).zip’ 파일은 보안 승인 메시지가 나타나지 않도록 처리하는 모듈로 파일에 대한 ..

민감정보 유출(Sensitive Information Disclosure) - 생성형 AI 및 LLM이 출력을 통해 민감 정보를 의도치 않게 노출하는 취약점 - 민감 정보는 사용자의 개인정보와 기업의 기밀정보를 포함하여 공개되지 않은 모델의 학습 알고리즘, 소스코드 등이 포함됨 민감정보 유출 - 주요 사례1. 삼성전자 내부 정보 유출 - 삼성전자 직원들이 회사 업무를 위해 ChatGPT를 사용하는 과정에서 내부 소스코드, 회의내용과 같은 민감정보를 업로드함 > 회의 녹취록 파일 업로드 후 회의내용 요약 요청 > 공정 장비 측정과 관련된 소스코드를 업로드 후 오류 해결 요청 > 생산 공정에서 불량 장비 식별 프로그램 코드 업로드 후 코드 최적화 요청 - 사내 기기 사용 네트워크에서 ..

WSL (Windows Subsystem for Linux) 는 Windows 위에서 리눅스를 “가상머신 없이” 실행하게 해주는 호환/가상화하게 해주는 Tool 입니다. WSL 설치 시 발생하는 아래와 같은 오류에 대한 해결 방법입니다.설치 중 오류가 발생했습니다. 배포 이름: 'Ubuntu 24.04 LTS' 오류 코드: 0x80070422 일단 검색 해봤을 때 해결 방법으로 안내가 오는건 LxssManager 서비스 활성화:Win + R을 누르고 services.msc를 입력하여 서비스 창을 엽니다.LxssManager를 찾아 마우스 오른쪽 버튼으로 클릭한 후 [속성]으로 들어갑니다.시작 유형을 자동으로 변경하고 서비스를 시작합니다.PowerShell 명령어로 서비스 재시작:관리자 권한으로 Power..

모바일 앱 진단 수행 중 로그인 구간에서 webview를 사용하고 있고 해당 기능 이후 메모리 덤프 시 중요정보가 평문으로 저장되는 이슈가 발생모바일 앱 동작 방식은 네이트브 형태나, 하이브리드 형태가 아니라 웹 뷰 형태에서 껍데기만 씌워놓은 형식으로 동작을 수행하고 있어서 기존에 대응 방안으로 안내하는 가상키페드 방식이나 메모리 초기화 방식으로 처리하기에는 어려운 상태그래서 확인해본결과 - 로그인 직후는 평문으로 남아있음 - 한 5~10분정도 후 에는 또 없어짐 초기에만 남아있는 형태로 보여져서일단 안내는 웹뷰 구현 시 캐시를 지우는 방법으로 하기로 사용 목적보안 강화:세션 종료 후 남아 있는 데이터를 삭제하여 민감 정보가 노출되는 것을 방지.개인정보 보호:사용자의 폼 데이터나 브라우징 기록을 지워서 ..

멱득성(idempotent) 이란 ?멱등성(Idempotency)은 수학이나 전산학에서 연산을 여러 번 반복해도 결과가 달라지지 않는 성질을 의미합니다. 컴퓨터 과학의 다양한 분야에서 중요한 개념으로 활용되며, 특히 소프트웨어 개발과 데이터베이스 관리에서 중요한 역할을 합니다.동일한 요청을 한 번 보내는 것과 여러 번 연속으로 보내는 것이 같은 효과를 지닙니다.서버의 상태도 동일하게 남습니다.클라이언트가 의도한 효과에만 적용됩니다. 위와 같은 특징을 가지고 있고, 이러한 특성을 사용해서 이용 할 수 있는 분야는 아래와 같습니다.은행 거래 시스템: 중복 이체를 방지하고, 데이터 일관성을 유지하는 데 필수적입니다.API 설계: API를 사용하는 클라이언트가 예측 가능한 결과를 얻을 수 있도록 보장합니다. 보..

AWS 주요 서비스 1. 스토리지 서비스  - Amazon simple Storage Service (Amazon S3)    >> 여러가지 용도로 사용 가능한 범용 스토리지 서비스   >> 키-값이 연결된 객체 형태로 구성   >> 보통 보안적 점검에서는 공개설정에서 발생하는 취약점 점검이 있음    2. 데이터베이스 서비스  - Amazon Relational Database Service(Amazon RDS)   >> 관계형 데이터 베이스   >> 사용자가 직접관리하지 않고 이용할수 있음 - Amazon DynamoDB   >> NoSQL용 서비스로 대량의 데이터를 저장, 추가 분석 서비스와 연계 가능하도록 서비스 제공    3. 서버리스 서비스  - Lambda   >> 코드를 소유하지 않아도 실..

정보보안 실무에서 근무하며, 읽었던 책/추천받은책/읽으려고 준비하던 서적을 기준으로 작성하였습니다.해당 구매 링크에서는 자세한 설명이 없으니, 도서관련 사이트에서 상세 내용 및 목차를 확인하고 해당 링크에서 구매하셔서 공부하시면 됩니다. 1. 버프스위트 활용과 웹 모의해킹  - 대상 : 초급자  - 분야 : 웹/앱 모의해킹 및 취약점 진단, 응용부분에 대한 취약점 진단  - 책 내용 : 취약점 진단에 필수적인 프로그램인 버프스위트에 대한 사용 설명으로 매번 사용하던 기능뿐 아니라 다양한 기능을 설명해줌  - 저자 : 조정원  - 출판 : 한빛미디어 - 구매 링크https://link.coupang.com/a/bCG630 버프스위트 활용과 웹 모의해킹COUPANGwww.coupang.com 2. 웹 해킹을..

안드로이드 앱에서 다른 애플리케이션에서 자신의 데이터에 접근하는 것을 금지하고 있다. 그러나 콘텐츠 프로바이더를 이용하여 자신의 데이터에 다른 애플리케이션이 접근하거나 부여한 권한대로 이용하도록 할 수 도 있다. 콘텐츠 프로바이더는 다른 애플리케이션의 데이버베이스나 파일에 접근 할 수 있는 인터페이스를 제공하며, 주로 프로세스 간 통신(IPC: Inter-Process Communication)으로 다른 애플리케이션과 데이터를 공유한다. 콘텐츠 프로바이더에 접근하기 위해서는 프로바이더 URI와 콘텐츠 리졸버가 필요하다. 타 앱에서 콘텐츠 리졸버를 사용해서 공격 타켓 대상에 대한 콘텐츠 프로바이더 URI로 접근한다. Content Provider 주소는 "content://aurh/path" 형태로 나타난..