가. 취약점 개요XML 문서를 조회할 경우 입력값 조작으로 XQuery나 XPath와 같은 XML 질의문의 구조를 임의 로 변경하여 허가되지 않은 데이터를 조회하거나 인증절차를 우회할 수 있다. 나. 설계시 고려사항① XML문서를 조회하는 기능을 구현해야 하는 경우 XML질의문에 사용되는 파라미터는 반드시 XML질의문을 조작할 수 없도록 필터링해서 사용하거나, 미리 작성된 질의문에 입력값을 자료형에 따라 바인딩해서 사용해야 한다. (ㄱ) 공통 검증 컴포넌트를 이용한 입력값 필터링 외부입력값에서 XML삽입 공격이 가능한 문자열들을 필터링하 Validator 컴포넌트를 개발하여 XML조회를 수행하는 애플리케이션 작성시 입력값에 대한 검증 작업이 일괄 적용되도록 설계한다. (ㄴ) 필터 컴포넌트를 이용한 ..
가. 취약점 개요데이터베이스(DB)와 연동된 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력데이터에 SQL 질의문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안 취약점을 말한다. 나. 설계시 고려사항 ① 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해야 한다.취약한 애플리케이션으로 인해 침해사고가 발생하더라도 나머지 부분에 대해 공격자가 액세스 권한을 가지지 않도록 애플리케이션에서 사용하는 DB연결 계정은 해당 애플리케이션이 사용하는 데이터에 대한 읽기, 쓰기, 삭제, 업데이트 권한만 설정한다. ② 외부 입력값이 삽입되는 SQL질의문을 동적으로 생성해서 실행하지 않도록 해야 한다. SQL 질의문의 구조가 외부 입력값에 의해 변경되지 않는..
안녕하세요 긴장했는지 잠을 못자고 밤새서 갔는데 운이좋게 턱걸이로 합격했습니다 아슬아슬하게 64점..특히 3영역의 과락 위기가 제일 위태로웠네요..CPPG는 영역 평균(총합계)가 60점 이상이어야하고, 영역 당 과락 점수는 40점을 기준으로 하고있습니다. 기술쪽으로만 공부했던터라 개인정보쪽 관련으로는 아에 지식이 없었으며, 법쪽부분은 거의 졸면서 외웠던 만큼 굉장히 어려웠던 기억이 있습니다.. 그리고 직장다니면서 공부하기가 너무 힘들어요ㅠ 1. 합격률요번 41회(24년 1회차) CPPG 시험은 굉장히 어려웠다고 합니다.제가 강의를 들었던 CPPG WIN 스터디의 기술사님도 이번 시험은 매운맛을 넘어선 아주 매운맛이라고 하셨습니다.(준 ISMS-P 시험 문제 정도로 난이도가 상승했다고 하시네요.....
01. 암호학의 기본 개념 1) 암호학의 정의 암호는 약속된 당사자 또는 집단에서만 암호문에 내포된 내용을 알 수 있게 하는 일종의 문서이다. 2) 암호화와 복호화 암호화 : 내용을 다른 사람이 읽지 못하게 하는것 평문 : 암호화 하기 전의 메시지 암호문 : 암호화한 후의 메시지 3) 암호화와 복호화의 기호 평문 : M 이나 P (보통 P를 많이씀) 암호문 : C 암호 알고리즘 : E 복호화 알고리즘 : D 키 : K C = E⒦(P) : 평문 P를 키 K로 암호화하여(E) 암호문 C를 얻는다. P = D⒦(C) : 암호문 C를 키 K로 복호화하여(D) 평문 P를 얻는다. 02. 암호기법의 분류 1) 치환 암호와 전치 암호 (가) 치환 암호(대치 암호, Substitution Cipher) 1. 비트, ..
01. 정보화 사회의 정보보호 (1) 정보보호 1) 정의정보보호의 사전적 의미를 살펴보면 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생하는 정보의 훼손, 변조, 유출등을 방지하기 위한 관리적, 기술적 수단, 또는 그러한 수단으로 이루어지는 행위이다.정보보호는 기밀성 , 무결성 , 가용성, 인증성 및 부인방지를 보장하기 위하여 기술적·물리적·관리적 보호대책을 강구하는 것 이라고 할 수 있다. *기밀성, 무결성, 가용성 중요 체크 2)정보의 가용성과 안정성(보안성)정보보호란 정보의 활용과 정보의 통제 사이에서 균형감각을 갖는 행위이며, 정보의 활용은 정보의 가용성을 극대화함으로서, 정보의 통제는 위협 요소를 줄이고 안정성을 확보하기위해 최대한 통제를 하자는 의미이다. 3)정보보호의 목표**(가)..
