Application : 응용 계층 7계층 : "최종 사용자에게 가장 가까운 계층"  

7층에서 작동하는 응용프로그램은 사용자와 직접적으로 상호작용한다. 

ex) 구글 크롬, 파이어폭스, 사파리등 의 웹브라우저

  스카이프, 아웃룩, 오피스 등의 응용 프로그램. 

Presentation : 표현 계층 6계층 : 응용프로그램, 네트워크위해 데이터 "표현"

 ex) 데이터를 안전하게 전송하기 위해 암호화  복호화 

Session : 세션 계층 5계층 : 컴퓨터와 서버간(2대의 기기)에 "대화"가 필요

이 계층에서는 설정, 조율(세스템 응답 대기시간), 세션 마지막에 응용프로그램 간의 종료등의 기능필요

Transport : 전송계층 4계층 : 최종 시스템& 호스트간 데이터 전송 조율

보낼 데이터의 용량, 속도, 목적지 등을 처리 

ex) 전송제어 프로토콜(TCP) TCP 는 인터넷 프로토콜(IP) 위에 구축되는 데 흔히 TCP/IP 로 알려져 있다. 기기의 IP 주소가 여기서 작동한다. 

 Network : 네트워크 계층 3계층 : (여러 라우터를 통한) 라우팅을 비롯한 패킷 전달을 담당. 

ex) 보스턴에 있는 컴퓨터가 캘리포니아에 있는 서버에 연결하려고 할 떄 그경로는 수백만가지... 이 계층의 라우터가 이 작업을 효율적으로 처리함. 

일반적인 가정용/소형 오피스용 라우터의 모습. ADSL 전화선 및 이더넷네트워크 케이블 연결부가 보인다.

라우터(router^[a], 문화어: 경로기) 혹은 라우팅 기능을 갖는 공유기는 패킷의 위치를 추출하여, 그 위치에 대한 최적의 경로를 지정하며, 이 경로를 따라 데이터 패킷을 다음 장치로 전향시키는 장치이다.https://ko.wikipedia.org/wiki/%EB%9D%BC%EC%9A%B0%ED%84%B0

Data Link : 데이터링크 계층 2계층: 네트워킹 세계에서 대부분 스위치는 2계층에서 작동

 두개 직접 연결된 노드 사이의 노드간 데이터 전송을 제공하며, 물리 계층의 오류도 수정처리  2개의 부계층도 존재 

- 매체접근 제어 계층(MAC)

- 논리적 연결제어 (LLC)

Physical: 물리계층 1계층 : 시스템 전기적, 물리적 표현 

ex) 케이블 종류, 무선 주파수 링크, 핀 배치, 전압, 물리 요건... 문제시 케이블연결, 라우터 , 스위치 , 전원 확인

출처 http://www.ciokorea.com/news/36536: 

깃 허브 페이지를 만들면서 생각지도 않게 헤맸던것.. 

호스팅 케이알의 네임서버 설정하는 곳을 몰랐던것 .

한일

1. 깃허브 셋팅에서 도메인등록하는 곳에 도메인넣고 버튼누름

2. 호스팅케이알에서 하기 그림위치에 네임서버 주가. 

(빨간위치에 도메인만등록하면 된다. )

크리덴셜

Credential

정보 시스템에서 사용하는 암호화된 개인 정보. 개인이 사용하는 공개키 암호 알고리즘을 위한 공개키 / 개인키 쌍, 공인 인증기관이 발행하는 공개키 인증서(certificate), 신뢰하는 루트 인증기관, 패스워드, 인가정보 등을 포함하는 암호정보의 총합. 대부분의 모바일 앱들은 크리덴셜을 활용한 자동로그인 기능을 제공한다. 크리덴셜은 사용자 아이디와 패스워드 정보를 토대로 생성된 보안 토큰으로 초기 인증 이후 크리덴셜 확인만으로 사용자 인증을 대신한다. 그러므로 만일 크리덴셜이 유출될 경우 사용자의 로그인 정보 및 개인정보 유출 등으로 인하여 불법적 콘텐츠의 사용이 가능하다.

https://www.copyright.or.kr/information-materials/dictionary/view.do?glossaryNo=288&pageIndex=75&searchLangType=&searchkeyword=&pageDisplaySize=10&searchIdx=&searchText=&clscode=01&searchTarget=

한 비밀번호 여러 계정에 쓰면 크리덴셜 스터핑에 당한다

http://www.boannews.com/media/view.asp?idx=54909

크리덴셜 스터핑은 한 웹사이트에서 훔친 로그인 정보를 다른 웹사이트에 무차별 대입(brute-force)하는 자동화 시스템으로, 하나의 계정 정보가 다른 계정 정보와도 일치할 것을 노린 공격 프로세스다. 사용자가 동일한 크리덴셜을 다중의 웹사이트에서 사용한다는 사실을 파악한 공격자는 계정 탈취를 쉽게 자동화할 수 있고 추후 더 많은 계정을 공격하는 데도 활용할 수 있다.

https://en.wikipedia.org/wiki/Software_deployment

배포

영어 : deployment

스킴, 계획, 제도

영어 : scheme 

* 스키마가 대략적인 계획이나 도식을 뜻하는 데 비해 스킴은 구체적이고 확정된 것을 말한다.

세그먼트

영어 : segment

>>어떤 프로그램이 너무 커서 한 번에 주기억 장치에 올라올 수 없어 갈아넣기 기법을 사용하여 쪼개었을 때, 나뉜 각 부분을 가리키는 말

프로그램 실행 시 주기억 장치 상에 적재되는 프로그램의 분할 가능 기본단위...

데이터베이스 시스템에서 데이터 기억 최소단위

가상기억장치 바이트 수단위로 분할 되는 가상기억

https://dict.naver.com/search.nhn?dicQuery=%EC%84%B8%EA%B7%B8%EB%A8%BC%ED%8A%B8&query=%EC%84%B8%EA%B7%B8%EB%A8%BC%ED%8A%B8&target=dic&query_utf=&isOnlyViewEE=

https://terms.naver.com/entry.nhn?docId=836541&cid=42344&categoryId=42344

TNA

Temporarily not available

SSL

 Secure Sockets Layer를 의미하며 이는 웹 브라우저와 엡 서버 사이에 암호화된 통신을 구현하는 글로벌 표준 보안 기술입니다.

바우처

영어: voucher

 '현물' 내지 '특정 현물로만 교환이 가능한 상품권

polyfill 

다른브라우저에 있는데 해당브라우저에 없어 지원해주기 위해 만든 것 js

https://philipwalton.github.io/polyfill/

BigDecimal

java  사칙연산 소수점 까지 정확하게 사용하기 위해 사용

스키마(schema)

데이터베이스를 구성하는 레코드의 크기, 키(key)의 정의, 레코드와 레코드의 관계, 검색 방법 등을 정의한 것.

http://openeg.co.kr/ 보안교육을 듣고. 

*  공격자의 패턴

1. 관리자에게 악성 파일 배포: 관리적 보안이 필요한 경우 
2. 웹서버 공격

가. 보안 사고 사례 

1. 웹어플리케이션 취약점 이용 

   : 로그인 하여 다른 고객의 번호를 조회, 방화벽에서 막아주는 반복 실행 기간보다 넓게 반복 

    → 생성 & 업데이트 & 삭제 시 권한있는 사용자인지 조회 확인필요

2. 로그인 관리, 암호화, 파일업로드 취약점 이용

   : 현대캐피탈 사고, COMMAND 창을 사용할 수있는 환경을 만들고 컴퓨터 내부의 데이터를 뒤짐

   DB의 경우 암호화 되어 사용할 수 없었으나 로그파일을 사용함.

   →  중요데이타의 경우 로깅 데이터도 암호화 할 것.
   
   

3. OpenSSL heartBleed 취약점

   : 오픈 라이브러리 취약점. 변수와 변수의 길이를 파라메터로 요청을 보낼 때 사용함, 이때 변수의 길이를 보내는 길이 보다 길게 주면 heap 영역에 저장된 다른 사용자의 정보도 모두 가져옴

   →  JAVA의 경우 보안의 문제점이 발견되면 해당 API 듀플리케이트 됨 참고만

   → 메모리영역에 key 값이 남지 않도록 할 것.
   
   

4. 스마트폰 앱의 허술한 보안공약

   : 포인트 선물하기 시 문자인증 프로세스 제거. 소액의 포인트를 한 사용자에게 선물하여 고액 결재로 사용
   → 프로세스 설계시 주의
   
   

5.  SQL인젝션 취약점을 이용한 공격
   
   

6. 파일 업로드 취약점을 이용한 공격
   
   

7. 정수 오버플로우를 이용한 공격

8. 중요데이터 암호화 부재
   

9. 파라메터  변조를 이용한 공공아이핀 부정발급
   

10. URL 파라미터 조작 개인정보 노출(2016 yes24)
    

11. 무작위 대입공격 기프트 카드 정보유출(2016 카드사)
    

12. 사물인터넷 보안 위협

나. 보안 약점 / 취약점 

#보안 약점

•  소스코드에 존재하는 잠재적 위험

#보안 취약점

• 보안 약점 중 침해 사고로 연결되는 위험.
• 보안약점은 취약점을 포함한다. 

다. DB 활용 

    # 보안 약점

• CWE(Common Weakness Enumeration) 
  

  -  https://cwe.mitre.org/
  

  -  미 국토 안보부 관리
  

   # 보안 취약점

• CVE(Common Vulnerabilities Exposures)
  

  - https://cve.mitre.org/
  - "CVE-2014-0001" 보안 솔루션 소개시 사용.
  
  
• SANS (SysAdmin, Audit, Network and Security)

  - CWE/SANS 가장 위험한 소프트웨어 에러 25개
  

      소프트 웨어 오류 정리 목록...구성요소간 안전하지 않은 상호작용(6개), 위험한 자원관리(8개), 허점이 많은 방어(11개)
  
  

• CERT Secure Coding Standard

  -  안전 코딩 패턴, 2009년 10월기준 17개 카테고리, 지속적 갱신중. 
  
  
• OWASP (The Open Web Application Security Project)
  - OWASP Top 10: 웹 프로그래밍 관련 가장 위험한 10가지 취약점. 3년에 1회 꼴로 발표.. 최근(2017년 )은 4년 걸림.

라. 2015년 상위 웹 취약점 & 약점

유용한 사이트 1. 파비콘 생성기

https://www.favicon-generator.org/

아래 사진을 클릭하세요

유용한 사이트 2. 자바 정규식 검사

https://regexper.com/

아래 사진을 클릭하세요

유용한 사이트 3. JavaScript, HTML 자동정렬

http://jsbeautifier.org/

아래 사진을 클릭하세요

유용한 사이트 1. 내 비밀번호는 얼마나 안전한가요?

 How secure is my password?

비밀번호가 안전한지 점검해 보세요. 

아래 이미지를 클릭하세요

힌트!! 찾는데 63만년 보다는 오래걸려야 겠죠?(make over 638 THOUSAND YEARS !!!) 

암호화는 푸는데 시간이 오래걸리는 수학식입니다.^^

"ENTER PASSWORD"에 비밀번호를 입력해보세요!!

주소 : https://howsecureismypassword.net/