TCP 세션하이재킹 : 케빈 미트닉이 사용했던 공격방법의 하나로 TCP의 세션 관리의 취약점을 이용한 공격기법
정적테스트
동료검토 : 2~3명이 진행하는 리뷰
워크스루 : 검토자료를 회의전 배포해서 사전검토한 후 짧은 회의
인스펙션 : 저작자 외 다른전문가나 팀이 검사하여 오류 찾는 방법
DoS : 특정서버에 접속시도하여 서비스를 이용하지 못하게하거나, 서버 자원을 소진시켜 사용하지 못하게 하는 공격이다.
킬스위치 : 스마트폰 이용자가 도난당한 폰 작동을 정지할수 있도록 원격잠김 기능등을 단말기 펌웨어나 운영체제에 탑재
루트킷: 시스템침입을위해 백도어,트로이목마설치,원격접근등 불법해킹기능을 제공하는 프로그램 모음
(cf.크라임웨어:공격용툴킷)
IP스푸핑 : 인증된시스템으로 속여 패킷헤더를 인증한 호스트IP로 주소 위조
ARP스푸핑 :ARP메시지를 이용하여 상대방의 데이터패킷을 중간에 가로채는 공격
ICMP Redirect공격 : 공격자가 원하는 형태로 만들어서 특정 목적지로 가는 패킷을 공격자가 스니핑하는 공격기법
JSON : "속성-값 쌍", "키-값 쌍"으로 이루어진 데이터 오브젝트 전달 위해 인간이 읽을 수 있는 텍스트를 사용하는 개방형 표준포맷
요구사항 명세 단계
정형명세기법 : 사용자의 요구를 수학적인 원리와 표기법으로 서술 || 비정형명세기법 : 사용자요구를 표현할 때 자연어를 기반으로 서술
인증기술(지소생특)
지식기반 ID/패스워드 || 소지기반 공인인증서,OTP || 생체기반 홍채,정맥,지문 || 특징기반 서명,발걸음,몸짓
트랜잭션 : DB 시스템에서 하나의 논리적 기능을 정상적으로 수행하기 위한 작업 기본단위 (특징:ACID)
원자성(Atomicity)하나실패 전체취소 || 일관성(Consistency) || 격리성(Isolation) || 영속성(Durability)
이상현상 : 데이터의 중복성으로 인해 릴레이션을 조작할때 발생하는 비합리적 현상 (삽입,삭제,갱신)
EAI (포허메하) - 포인트투포인트 || 허브앤스포크 || 메시지버스 || 하이브리드
페이지교체기법 - LRU 가장오랫동안 사용되지않은 페이지선택하여 교체 || LFU 참조횟수가 가장적은페이지 선택하여 교체
FIFO 가장먼저들어와있는 페이지 교체(선입선출)
비즈니스연속성계획
BIA : 비즈니스 영향분석 || RTO 재해복구목표시간 || RPO재해복구목표지점 || DRP 재난복구계획 || DRS 재해복구시스템
대칭키암호와 알고리즘
DES : 1975년 미국 연방표준국(NIST)에서 발표 페이스텔구조
AES : 2001년 미국표준기술연구소(NIST)에서 발표 키길이에 따라 비트분류
SEED : 1999년 한국인터넷진흥원개발 || ARIA : 2004년 국가정보원과 산학연구협회개발
IDEA : 스위스연방기술 개발 || LFSR :시프트레지스터 일종으로 선형함수로 계산되는 구조
일정관리모델
CPM주공정법 : 여러작업이얽혀있는프로젝트 일정계산 || CCPM중요연쇄프로젝트관리 : 자원제약사항 고려하여 작성
PERT : 일의순서를 계획적으로 비관치,중간치,낙관치3점추정방식
라우팅프로토콜
RIP : 벨만포드알고리즘 사용 || OSPF: 다익스트라알고리즘사용 BGP : 자치시스템 상호간 경로정보교환위한 프로토콜
응용계층프로토콜(7계층)
HTTP : 텍스트기반 통신규약 || FTP 서버와클라이언트 사이 파일전송 || SMTP 25번을 사용해이메일보내기 || POP3 TCP/IP 연결통해 이메일가져오기
IMAP 143번포트 이메일 온오프라인지원가능 || Telnet 인터넷이나 로컬영역에서 네트워크 연결에 사용되는 네트워크 프로토콜
입력데이터검증및표현취약점
XSS:검증되지않은 외부입력데이터 포함되어 웹 전송 || CSRF사이트간요청위조 : 자신과 무관하게 공격자가 의도한 특정웹사이트요청
SQL삽입:악의적인 SQL구문을 삽입실행시켜 DB접근 정보탈취 및 조작 공격
개발환경 인프라 구성방식
온프레미스 : 외부인터넷망차단된상태에서 인트라넷 망만활용해 구축
클라우드방식 : 아마존 구글 ms등 클라우드공급하는 회사들의 서비스를 임대하여 구축
DAO:특정타입의 데이터베이스에 추상인터페이스 제공
VO:간단한엔티티 고정클래스가지는 객체 || DTO: 프로세스사이데이터전송하는 객체 저장,회수 외 다른기능 없는객체
테스트레벨종류및개념(단통시인) 1.단위:사용자요구사항에대한 단위모듈테스트 -> 2. 통합 : 모듈사이의인터페이스 컴포넌트간의
상호작용검증 -> 3. 시스템:정상적으로수행되는지검증 -> 4. 인수 : 계약상요구사항을만족했는지 확인하는테스트
선점형스케줄링 : 우선순위가 높은 다른프로세스가 현재 프로세스를 중단시키고 CPU점유하는 스케줄링방식
비선점형스케줄링 : 한프로세스가CPU할당받으면 작업종료 후 CPU반환시까지 다른프로세스는 CPU점유가 불가능한 스케줄링
화이트박스 테스트 : 응용프로그램의 내부구조와 동작을 검사하는 소프트웨어
블랙박스 테스트 : 외부사용자의 요구사항 명세를 보면서 수행하는 테스트
Slowloris : HTTP GET 메서드를 사용하여 헤더의 최종끝을 알리는 개행문자열인 \n을 전송하지 않고 자원소진
RUDY : 요청헤더의 Content-Length를 비정상적으로 크게 설정하여 바디 부분을 매우 소량으로 보내 계속연결상태유지시키는공격
Slow Read Attack : TCP 윈도 크기와 데이터 처리율을 감소시킨 상태에서 다수 HTTP패킷을 지속적으로 전송하여 대상 자원 소진
네트워크신기술
IoT:사물인터넷 || 메시네트워크 : 차세대 이동통신 홈네트워킹
피코넷: 여러개에 독립된 블루투스기술이나 UWB통신사용한 무선네트워크기술
클라우드컴퓨팅 : 컴퓨팅자원을 중앙컴퓨터에 두고 인터넷기능을 갖는 단말기로 언제어디서나 작업할 수 있는 환경
파스타(Pass-ta):과학기술통신부와 한국정보진흥원이 개발 소프트웨어개발환경을 제공하기위한 개방형클라우드 컴퓨팅플랫폼
파장분할다중화:광섬유이용한통신기술 || SSO: 통합로그인 || 스마트그리드 : 정보기술을 전력에 접목해 전력IT라고함
지그비 : 저속 전송속도 홈오토메이션 및 데이터네트워크를 위한 표준기술
SW관련신기술
SOA 서비스지향 아키텍쳐 : 분할될 애플리케이션 조각들을 Loosely-coupled(느슨) 하게 연결해 하나의 완성된 애플리케이션을 구현하기위한 아키텍쳐
매시업 : 5G의 핵심기술 하나의 물리적인 네트워크를 다수의 가상네트워크로 분리
서비스형블록체인 BaaS : 블록체인앱의 개발환경을 클라우드 기반으로 제공
OWASP(오픈웹에플리케이션보안프로젝트) : 웹정보노출 및 악성코드 보안이 취약한 부분을 연구하는 비영리단체
디지털트윈 : 현실 속 사물을 소프트웨어로 가상화한 모델 || 텐서플로 : 구글브레인팀이 만든 다양한 작업에 대해 데이터흐름 프로그램을위한 SW 라이브러리
트러스트존 : ARM에서 개발된기술 일반구역 보안구역 분할아여 관리하는 보안기술
해시암호화알고리즘
MD5 : MD4를 개선한 암호화 알고리즘 || SHA-1 : 1993년 NSA에서 미정부표준으로 지정 || HAS-160 : 국내표준 서명 알고리즘 위한 해시함수
무선랜표준
802.11f : AP간 로밍기능 향상 || 802.11i : 무선랜 보안기능향상 || 802.11h : 전파간섭방지
802.11ac : 다중단말의 무선랜 속도는 최소 1Gbit/s || 802.11ad : 무압축HD비디오 || 802.11ax : 밀도있게 Capacity최대화 무선랜표준
SQL 관련
LEFTJOIN - 왼쪽 테이블의 모든 데이터와 오른쪽 테이블 동일 데이터 추출 없으면 NULL로 나타냄
GRANT 권한 ON 테이블 TO 사용자 (그온투)
절차형SQL
프로시저:하나의함수처럼실행하기위한쿼리집합 || 사용자정의함수:결과를단일값으로반환 || 트리거:이벤트발생시 관련작업 자동수행
