본문 바로가기

서버운영 (TA, ADMIN)/정보보안

(21)
[정보보안] 해시의 문자열 길이 해시 자릿수 MD2 32 MD4 32 MD5 32 SHA1 40 SHA224 56 SHA256 64 SHA284 96 SHA512 128 RIPEMD128 32 RIPEMD160 40 WHIRLPOOL 64 TIGER128,3 80 TIGER160,3 128 TIGER192,3 32 TIGER128,4 40 TIGER160,4 48 TIGER192,4 32 SNEFRU 40 GOST 48 ADLER32 64 CRC32 64 CRC32B 64 HAVAL128,3 8 HAVAL160,3 8 HAVAL192,3 8 HAVAL224,3 128 HAVAL256,4 128 HAVAL128,4 32 HAVAL160,4 40 HAVAL192,4 48 HAVAL224,4 56 HAVAL256,4 64 HAVAL128,5..
[정보보안] 암호화 해시 함수 http://www.itworld.co.kr/news/94202
[리버스엔지니어링] 리버스 엔지니어링이란? 리버스 엔지니어링이란?리버스(reverse)라는 말은 반대, 역의 뜻을 가지고 있는데, 리버스 엔지니어링을 역공학이라고 쓰기도 합니다. 리버스 엔지니어링은 목표가 되는 프로그램이나 프로토콜을 분석하여 똑같은 동작을 만들어 내는 것을 말합니다. 리버스 엔지니어링의 종류통상적으로 컴파일된 바이너리EXE, DLL, SYS 등)를 디스어셈블러라는 도구를 이용하여 어셈블리 코드를 출력한 후 그것을 C언어 소스형태로 다시 옮겨 적고 적당한 수정을 통해 리버스하고 있는 파일과 동일한 동작을 하는 프로그램을 만드는 것이 있습니다. 모든 어셈블리 코드를 소스 형태로 옮기지 않고 그냥 동작 방식만을 알아낸다거나 일정 부분만 수정하는 것들도 리버스 엔지니어링이라고 할 수 있습니다. 예를 들면 바이러스를 분석하는 일은 모든 ..
[정보보안] API 보안 체크 리스트 인증 (Authentication) Basic Auth를 사용하지 말고 표준 인증 방식을 사용하세요 (예로, JWT, OAuth 등)인증, 토큰 생성, 패스워드 저장은 직접 개발하지 말고 표준을 사용하세요. JWT (JSON Web Token)- 무작위 대입 공격을 어렵게 하기 위해 랜덤하고 복잡한 키값 (JWT Secret)을 사용하세요.- 요청 페이로드에서 알고리즘을 가져오지 마세요. 알고리즘은 백엔드에서 강제로 적용하세요. (HS256 혹은 RS256)- 토큰 만료기간(TTL, RTTL)은 되도록 짧게 설정하세요.- JWT 페이로드는 디코딩이 쉽기 때문에 민감한 데이터는 저장하지 마세요. OAuth- 허용된 URL만 받기 위해서는 서버단에서 redirect_uri가 유효한지 항상 검증하세요.- 토큰..
[정보보안] JCA로 이해하는 암호화와 보안 Java는 오래전부터 자체적인 보안 관련 기능을 제공하고 있습니다. 보안 관련 기능 중에서 JCA(Java Cryptography Architecture)는 가장 핵심이라고 할 수 있습니다. JCA는 프로바이더 구조를 사용하면서 보안과 관련한 다양한 API를 제공합니다. JCA는 매우 다양한 기능을 제공하는데, 전자서명(Digital Signature), 메시지 다이제스트(MessageDigest, hashs), 인증서와 인증서 유효성 검사(Certificate Validation), 키 생성 및 관리 그리고 보안 랜덤 수(Secure Random Number) 생성 등 현대 정보 통신 암호 기술 중에서 필수적인 것은 모두 제공한다고 할 수 있습니다. JCA를 이용하면 암호화에 대한 매우 전문적인 지식이..