Chapter 04 인증 기술과 접근 통제.

Slides:



Advertisements
Similar presentations
신선초등학교 2 학년 4 반 김 우혁. 을왕리해수욕장은 인천광역시 중구 을왕동에 위치하였고, 늘 목 또는 얼항으로도 불리며 1986 년 국민 관광지로 지정되 었다. 백사장 길이는 약 700m, 평균 수심은 1.5m 로 비교적 규 모가 큰 편이다. 울창한 송림과 해수욕장.
Advertisements

역사도시 경주 로 GO!!! 모둠원 : 김진한, 기중호, 김승우, 권하늘, 차명섭. 차례 1~10 1. ①석굴암에 대하여 GO!!!! 2. ②석굴암에 대하여 GO!!! 3. ①문무대왕릉에 대하여 GO!!! 4. ②문무대왕릉에 대하여 GO!!! 5. ①안압지에 대하여 GO!!!
비즈쿨 - 정 성 욱 - - 금오공고 비즈쿨 - 정 성 욱 1. 나는 각 단원들의 활동들에 성실하게 참여 하겠습니다. 우리의 다짐 2. 나는 나와 전체의 발전을 위해 각 멘토들의 지도에 순종하겠습니다. 3. 나는 각 단원들을 숙지함으로써 비즈니스 마인드를 함양하고 자신의.
노인복지론 담당교수 : 최 병태 교수님 학과 : 보건복지경영학과 학번 : 이름 : 김 태인 날짜 :
한국기계공업협동조합 연합회 산업단지 [ 산업형 제 2 종지구단위계획 사업추진방안 ( 제안 )]
사랑과 기쁨으로 연합하는 제 2 회 전교인 한마음 운동회 제 2 회 전교인 한마음 운동회 설명회 대한예수교장로회 자 양 교 회 1.
HTML + JavaScript UIT Series [Chapter 3] HTML 을 이용한 회원 정보 입력 양식 만들기.
2013 년 목 차 용어의 정의 위기경보 수준 국가 생물테러 대응 체계도 반 · 팀별 소방의 임무.
2011 년도 하계휴양소 운영 한전산업개발노동조합 태안 발전지회 기간 : 7 월 15 일 ~ 8 월 19 일.
구월 아시아드 선수촌 상업지구 인천의 중심 상권을 노려라 !! 행정의 중심 구월 선수촌 상권은 인근의 인천시청, 남인천세무서, 남동경찰서, 남동소방서, 인천지방노동, 인천 교육청 각종 관공서 밀집지역 교통의 중심 인천터미널, 인천터미널역, 예술회관역 등 인천지하철 1.
포도산업의 고부가가치 융복합화를 통한 지역경제 활성화 사례 (농가형 와이너리-관광산업 연계)
신림역, 서울대입구역, 낙성대역 ↔ 연구원 4번 출구에서 주유소 옆 2번 마을버스 타고
목 차 1.색이론 1) 색의 개념 2) 색의 3요소 3) 빛의 삼원색 4) 색의 합성 2. 필터 1) 컬러필터의 변천사
7~9월 프로그램 광산구드림스타트 호 소식지 신체 / 건강 인지/언어 정서/행동
일시 : 2002년 6월 18일 주관 : 한국 기독교 장로회 경기 노회 정보통신부 강사 : 한창희
국가도서관통계시스템 수치입력자 매뉴얼 이의신청 방법 Version. 1.0.
미국경제의 신용위기가 한국경제에 미치는 영향
원정초등학교 5학년1반 48번 윤민정.
Chapter 03 웹 해킹의 기초.
컬러 LED바 이해하기 목차 재료준비 및 브레드 보드 배선 구성하기 컬러 LED바 이해 및 프로그램 실습 응용 작품 만들기.
Chapter 05 SQL 인젝션 공격.
Chapter 06 XSS 공격.
생 활 속 의 색 채 연 출 색채의 감정적 효과 계 절.
하나투어 - SK텔레콤 T로밍카드 제휴 기념 EVENT 경품이 팡팡~~!!
무선랜 사용자 설명서 (Windows7 사용자).
OpenGL Project 조민정 장선례.
Ⅲ-3. 생명의 연속성 5. 유전적 다양성과 현대의 진화
Ovid Today 설치 방법: 또는 7/10/2012 iTunes 앱스토어애서 ‘OvidToday’를 검색하세요.
1. 하나투어 프로모션 페이지 수정사항 정리 – 리오타노 이태리 세미극세사 차렵이불_그레이
칼빈의 생애와 개혁자로의 변모 사학과 김종식.
고객성향분석 및 대응 겸임교수 : 서 형 택 ( ).
Copyright ⓒ iParadigms LLC 2014
국제의료관광 관련 법, 제도.
XSS (Cross Site Script)
돌연변이 생물교재론 양현주.
【 6월 1일 】 (‘오늘의 용기 내일의 희망’ 중에서...)
남아메리카 선교 김수정, 이하정 전희진, 장성경.
국가문화예술지원시스템 사용자 매뉴얼(1)
Internet 유선 랜카드 A 회사 네트워크 장비 (인터넷 공유 기능 활성화)
광전효과를 이용한 플랑크 상수 측정 1조 권희선 조혜원 허진.
CHAPTER 9-1 한국의 사회복지정책 - 사회보험제도 -
빛 의 합 성 과 학 1 학년 Ⅱ. 빛 > 2. 빛의 색( 8/8 ) [초기 화면]
결과보고서 실험 12주차. 클럭펄스 발생회로 실험 담당교수 : 이종익 교수(S12) 소속 학년 학번 성명 1.
시스템 인터페이스 Lab#5 쉘 실습.
ALL KILL 레이어 변경 요청 [PC] 레이어 삭제.
기본 테이블세팅(로맨틱) 푸드스타일리스트 전공 김선아.
혼색 color mixture.
거래처 매뉴얼 리 얼 시 스 템 주 식 회 사.
AEROPLAN PASSWORD 재설정 방법
iThenticate User Manual.
원시 지구에서 단백질과 핵산은 어떻게 만들어졌는가?
[색채지각 ] Color Perception.
색채의 공감각 맛 음 냄새 촉감 5. 모양.
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
G20 Summit 관련 공항이용 안내 공지 에어칼린 한국총판대리점 감사합니다. 항공보안등급 상향일정
거래처 매뉴얼 리 얼 시 스 템 주 식 회 사.
2019년도 지식재산창출지원사업 사업설명회 IDEA.
[ 우리 학원 보카 학습 학원장 / 강사 메뉴 및 기능 ]
CCTV 설정법.
1. 전문대학기초학습지원센터 접속하기 전문대학 기초학습지원센터 접속 접속URL : LOG-IN 클릭.
1. 전문대학기초학습지원센터 접속하기 전문대학 기초학습지원센터 접속 접속URL : LOG-IN 클릭.
1. 전문대학기초학습지원센터 접속하기 전문대학 기초학습지원센터 접속 접속URL : LOG-IN 클릭.
코 칭 결 과 센 터 구성센터 (모바일) 코칭대상 프로 (엔지니어) 코칭일시
1. 하나투어 프로모션 페이지 수정사항 정리 – 인따르시아 여행용 파우치 5p (핑크)
1. 하나투어 프로모션 페이지 수정사항 정리 – [트래블이지] 비비드접이식가방 NO.1278
창조론과 진화론 사상독서스쿨 아가피아 스쿨 5반.
경찰학 세미나 제 5 강 경찰관직무집행법 2조 5호의 의미 신라대학교 법경찰학부 김순석.
주제 : 원핵에서 진핵으로, 단세포에서 다세포로
WOI Guidance IBM Procurement
첨부 1. 불꽃 위치도 ※ 불꽃 발사 장소 : 수원월드컵경기장 남측 P4 주차장 뒤편 공원 (붉은색 원표시 부분)
Presentation transcript:

Chapter 04 인증 기술과 접근 통제

01 인증 기술 02 접근 통제

웹 애플리케이션이 사용자를 인증하는 방법을 학습한다. 인증과 관련된 다양한 취약점 및 공격 기법을 학습한다. 웹 애플리케이션 접근 통제의 종류와 공격 방법을 학습한다.

1.1 인증 방법 인증 방법 인증 방법은 하나만 적용할 수도 있지만 두 개 이상의 방법을 함께 사용하는 것이 더 안전

1.1 인증 방법 알고 있는 것 패스워드 기반 인증 특정인을 인증할 때 사용하는 가장 일반적이고 오래된 방법 해당 정보를 본인 외에는 아무도 모르고 있어야 하는 것이 중요 패스워드 기반 인증

1.1 인증 방법 주민등록번호 기반 인증 주민등록번호의 앞 여섯 자리는 생년월일, 뒤 일곱 자리는 성별, 태어난 지역, 출생신고 순서, 오류 검증 번호로 구성 성별을 나타내는 숫자는 태어난 시대에 따라 구분

1.1 인증 방법 I-PIN(인터넷상 개인 식별번호) 기반 인증 주민등록번호를 입력하지 않고도 웹 서비스를 이용할 수 있는 개개인을 식별 하는 별도의 식별번호 개인정보 보호법에 따라 모든 포털 사이트는 회원 가입을 할 때 주민등록번호 를 대체하는 수단을 마련해야 함. 「개인정보 보호법」 제24조 제2항 (고유식별정보의 처리 제한) 대통령령으로 정하는 기준에 해당하는 개인정보 처리자는 정보 주체가 인터넷 홈페 이지를 통하여 회원으로 가입할 경우 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. <공포(2011. 3. 29.) 후 1년이 경과한 날로부터 시행(2012. 2. 29.)>

1.1 인증 방법 가지고 있는 것 스마트카드 가장 대표적인 예는 열쇠 열쇠 외에도 신분증, 여권, 인증서, 스마트카드 등이 있음. 스마트카드 스마트카드의 IC카드 칩에 개인을 식별할 수 있는 코드 또는 현금카드와 같은 정보가 입력되어 있음.

1.1 인증 방법 그 자체(생체 인증) 대체하거나 모방하기 어렵기 때문에 더욱더 중요한 인증 수단으로 자리잡을 예정 현재 생체 인증에는 지문, 홍채, 망막, 얼굴, 목소리, DNA 등이 사용되고 있음. 행위 기반의 인증 수단으로는 서명, 키 누름 등이 있음.

1.1 인증 방법 위치하는 곳 IP 주소에 기반을 둔 시스템 접근 통제 사용자인지 확인할 수 있음.

1.2 인증의 취약점 공격 패스워드 설정의 취약점

1.2 인증의 취약점 공격 Password Strength WebGoat를 실행 후 [Authentication Flaws]-[Password Strength] 선택

1.2 인증의 취약점 공격 패스워드의 취약성 확인 빨간색 링크를 클릭하거나 https://howsecureismypassword.net에 직접 접속 ‘123456’ 입력

1.2 인증의 취약점 공격 패스워드의 취약성 확인 ‘abzfezd’ 입력

1.2 인증의 취약점 공격 패스워드의 취약성 확인 ‘My1stPassword!:Redd’ 입력

1.2 인증의 취약점 공격 패스워드를 크랙하는 데 걸리는 시간 입력

1.2 인증의 취약점 공격 패스워드 강력도 결과 확인 값을 모두 입력한 후 <Go> 클릭 패스워드는 영문 소문자와 대문자, 숫자, 특수문자를 조합해 복잡하게 만들수 록 안전

1.2 인증의 취약점 공격 Forgot Password WebGoat 실행 수 메뉴에서 [Authentication Flaws]-[Forgot Password] 선택

1.2 인증의 취약점 공격 정상적인 사용자 정보로 패스워드 탐색 User Name에 ‘webgoat’를 입력하고 <Submit> 클릭 다음 화면에서 Answer에 ‘red’를 입력하고 <Submit> 클릭

1.2 인증의 취약점 공격 다른 사용자의 패스워드 탐색 화면 상단의 <Restart Lesson>을 클릭하여 User Name을 입력하는 화면으로 다시 이동 User Name에 ‘admin’을, Answer에 ‘red’를 입력

1.2 인증의 취약점 공격 다른 사용자의 패스워드 탐색 질문의 형태가 단순히 색을 묻는 것이기 때문에 공격자는 yellow, red, blue 등 의 색상을 추측하여 응답할 수 있음. 공격자가 green을 입력하여 결국 패스워드를 얻음.

2. 접근 통제 수직적 접근 통제 특정 정보에 대한 접근 권한을 수준별로 상이하게 설계한 통제 대부분의 웹 사이트는 일반 사용자가 접근할 수 있는 기능 외에 일반 사용자가 접근할 수 없는 관리자 기능을 만들어 놓음.

2. 접근 통제 수평적 접근 통제 비즈니스 로직 접근 통제 웹 애플리케이션 내에 여러 사용자가 존재할 때 상대방의 정보를 볼 수 없도록 통제하는 것 수평적 접근 통제에 대한 공격은 주로 URL에 노출되는 자신의 식별 코드를 다 른 사람의 것으로 변경하거나 쿠키 또는 세션 값을 다른 사람의 것으로 대체함 으로써 이루어짐. 예) 이메일, 인터넷 뱅킹 비즈니스 로직 접근 통제 사용자 권한에 종속되지 않고 민감하거나 중요한 자원에 대한 접근과 관련된 것 예) 일반 사용자가 관리자 권한을 전부 획득하지 못했더라도 관리자만 접근할 수 있는 메뉴에 접근하는 경우