security
참조모니터(Reference Monitor)
참조모니터(Reference Monitor)- 접근 통제 결정을 중재하는 OS의 요소, 모든 접근 요청이 통과되어야 하는 단일점- 주체에 의한 객체로의 모든 접근을 중재하는 일련의 S/W- 객체로의 접근이 요청될 때만 작동, 방화벽은 참조 모니터의 특별한 형태- 3가지요소 : 완전성, 격리성, 검증가능성 접근 통제 영역 - 관리적 -기술적 - 물리적 통제의 프레임워크 수립 참조모니터에서 사용되는 3가지 접근통제정책임의적 접근 통제정책(DAC, Discretionary Access Control)- 데이터의 소유권을 가진 사람(Owner)가 다른 사용자가 접근을 요청하면, 소유자가 관리자와 관계없이 임의로 권한을 부여(자율적 정책)특징- 소유자가 임의로 접근권한을 부여하는 자율적 정책- 접근 통제 목록(A..
[LOS]Level3 goblin 문제풀이
query : {$query}"; $result = @mysql_fetch_array(mysql_query($query)); if($result['id']) echo "Hello {$result[id]}"; if($result['id'] == 'admin') solve("goblin"); highlight_file(__FILE__); ?>6번째 줄에 preg_match를 보면 ', ", ` 를 사용하지 못하게 되어있습니다. (확인결과 %27도 필터링된다.)7번째 줄에 id값에 guest가 들어가있고, no의 값을 받습니다.10번째 줄에 id가 admin이면 문제가 풀립니다.따라서 싱글쿼터(')를 사용하지 않고 id값에 admin을 넘겨주어야 합니다.no값에 1을 넣어보니 Hello huest..
Linux PAM, 리눅스 계정정책(PAM) 주요 모듈
Linux PAM, 리눅스 계정정책(PAM) 주요 모듈# PAM의 주요 모듈 # # man pam_permit# man pam_deny명령어를 통해서 해당 모듈의 메뉴얼을 볼 수 있다. - pam_permit과 pam_deny는 모든 모듈 타입(auth, account, password, session)에서 사용 가능 하다. - pam_permit (항상 성공)- pam_deny (항상 실패) ex) auth sufficient pam_permit.so => 항상 성공 ex) auth required pam_permit.so => 성공, 다음 모듈로 넘어감auth requisite pam_deny.so => 실패, 다음 모듈을 수행하지 않고 실패 반환 - pam_time.so..
Linux PAM, 리눅스 계정정책(PAM)관련 디렉토리와 설정 파일 구성요소
Linux PAM, 리눅스 계정정책(PAM)관련 디렉토리와 설정 파일 구성요소 PAM 관련 디렉토리 /etc/pam.d/* : 서비스 인증 설정 파일/lib/security/* : PAM 인증 모듈 (각각의 기능을 지닌 하나의 모듈)/etc/security/* : PAM 인증 모듈의 설정 파일
시스템보안, 윈도우 계정정책 Security Config
윈도우 계정정책 Security Config 윈도우는 정책이 미리 만들어져 있고, 손쉽게 만들수 있으나, 내가 원하는 형태대로 만들기는 힘든 단점이 있다.다시 말해, 미리 만들어진 템플릿대로 몇몇 옵션만 수정해서 사용 가능하다. 제어판 > 관리도구 > 로컬보안정책 > 계정정책 계정정책은 암호정책과 계정잠금 정책으로 나누어 진다. 암호는 복잡성을 만족해야 함 : 사용함으로 바꾸게 되면, 사용자 계정 암호를 복잡하게 설정해야만 한다.최근 암호 기억 : 최근 사용한 암호를 기억해서, 암호를 바꾸게 될 때 이전과 똑같으면 변경 불가능하게 한다.최대 암호 사용 기간 : 암호를 사용할 수 있는 기간을 설정해서, 암호를 주기별로 바꾸게 한다.최소 암호 길이 : 암호를 설정 할 수 있는 최소 길이로, 최소 8자리 이상..