방안
-
기술사 필기시험 긴장감 극복방법(마무리 방안)기술사 멘토링 2022. 1. 14. 13:14
126회 기술사 필기시험이 2주 앞으로 다가왔습니다. 많은 수험생분들이 초초해 지는 시기입니다. 시간이 많이 남은줄 알았는데, 금새 코앞으로 다가와서 좀 당혹감이 드시는 분들 열심히 준비했지만 아직도 뭔가 부족하다고 느끼시는 분들 열심히 서브노트를 돌리고 있지만 암기가 안되는 토픽은 계속 안되는 분들 긴장감에 소화기 계통에 문제가 생겨서 컨디션 조절에 실패하신 분들 회사, 가정에 발생된 문제로 집중이 어려운 분들 참 어렵고, 힘들고, 외로운 시험입니다. 저 또한 많이 긴장하는 스타일이라 시험을 1~2주 앞두었을때 1주일에 하루, 시험전 날은 제가 좋아하는 SF, 액션 영화를 보면서 보냈던 기억이 있습니다. 우리 뇌는 극도로 집중된 상태에서 잠시 다른 주제로 관심을 돌릴때 집중하던 부분에 대한 강화가 일어..
-
Apache Log4j 보안 업데이트 권고(CVE-2021-45105) (Update. 21-12-22 13:40)Security 2021. 12. 23. 16:10
o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1] o 공격자는 해당 취약점을 이용하여 정상 서비스 중지 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고 ※ Log4j 취약점을 이용한 침해사고 발생시 한국인터넷진흥원에 신고해 주시기 바랍니다. □ 주요 내용 o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45105)[2] ※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 □ 영향을 받는 버전 o CVE-2021-45105 - 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.3.1, 2.12.3 제외) □ 대응방안 o 제조사 홈페이지를 통해 최신버전으로 ..
-
OWASP Top10 2021Security 2021. 12. 23. 11:36
OWASP(Open Web Application Security Project) 1. OWASP Top10 2017 대비 변경된 내용 2. OWASP Top10 2021 상세내용 구분 유형 상세 대응방법 A1 Broken Access Control (접근 권한 취약점) - 다른 사용자의 계정 및 데이터에 접근해 중요한 파일을 보거나 권한을 수정한다 - 최소 권한 부여 - ACL 적용 - 목록 비활성화 A2 Cryptographic Failures (암호화 오류) - 적절한 암호화가 이루어지지 않으면 민감 데이터가 노출된다. - 데이터 분류 및 통제 - 규정준수, 암호화, Salt - 최신 표준 알고리즘 A3 Injection (인젝션) - SQL, OS, ORM, LDAP 등의 신뢰할 수 없는 데이터 가..
-
원격 코드 실행(Remote Code Execution)Security 2021. 12. 21. 16:13
0.why - log4j 취약점을 이용한 공격이 원격 코드 실행 1.개념 원격 코드 실행(Remote Code Execution)이란, 대상 시스템의 취약점을 이용해 인가 받지 않은 사용자가 원격으로 접속하여 악성 코드를 실행하는 것 2.주요 원격 코드 실행 취약점 사례 - 윈도 SMBv3 취약점(CVE-2020-0796) - 안드로이드 블루투스 취약점 (CVE-2020-0022) - 리눅스 PPP(Point-to-Point Protocol) 데몬(Daemon) 취약점 (CVE-2020-8597) - Log4j JndiLookup 취약점 (CVE-2021-44228, CVE-2021-45046) - Log4j JMSAppender 취약점(CVE-2021-4104) 3.원격 코드 실행 취약점 대응방안 - ..