12. 보안 운영체제1. 보안 운영체제개요기본 개념컴퓨터 운영체제상에서 내재된 보안상의 결함으로 인해 발생 가능한 각종 해킹으로부터 시스템을 보호하기 위해 기존의 운영체제 내에 보안기능을 통합시킨 보안커널을 추가로 이식한 운영체제운영체제 내부에 보안기능을 구현한 것으로 기존의 응용 프로그램 실행환경을 유지하면서 시스템 차원의 강려한 보안기능 제공, 기술적 핵심은 정보영역의 분리, 역할기반 영역분리, 최소권한 유지, 커널 레벨의 강제적 접근통제 등2. 보안 운영체제의 주요 제공 기능보호 대상 및 방법보호대상메모리보조기억장치 상의 파일 또는 데이터의 집합메모리상에서 실행 중인 프로그램파일들의 디렉터리하드웨어 장치보호방법(점점 구현복잡도 증가)물리적 분리 : 사용자별로 별도의 장비만 사용하도록 제한시간적 분리..

8. 접근통제 개요1. 접근통제 개요접근통제 : 주체로 불리는 외부에서 접근하는 사람, 시스템 등이 접근 대상이 되는 객체라고 불리는 시스템에 접근할 때 보안상의 위협, 변조 등과 같은 위험으로부터 객체와 제반 환경을 보호하기 위한 보안대책비인가된 사용자 뿐만이 아니라 인가된 사용자가 비인가된 방식으로 접근하는 행위도 방지필요인가된 사용자가 인가된 방식으로 실수, 의도적으로 잘못 접근하여 훼손하는 행위도 방지필요절차식별 : 본인이 누구라는 것을 시스템에 밝히는 것(주체의 활동)인증 : 주체의 신원을 검증하기 위한 사용 증명 활동인가 : 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 과정책임추적성 : 시스템에 접근한 주체가 시스템에 어떤 행위를 하고 있는지를 기록(책임소재)접근통제 요..

2. 암호학 개요암호기법치환 암호 : 평문의 문자를 다른 문자로 교환, 일대일 대응이 아니어도 됨전치 암호 : 원문을 여기저기 움직여 일대일 대응을 가짐(자리바꾸기)블록 암호 : 특정 비트 수의 집합을 한 번에 처리하는 암호 알고리즘스트림 암호 : 한번에 1비트 혹은 1바이트의 데이터 흐름을 순차적으로 처리하는 암호 알고리즘위치에 따른 구분링크 암호화 : 데이터 링크 또는 물리적 계층에서 일어나는 암호화(헤더 포함)종단간 암호화 : 애플리케이션 계층에서 일어나는 암호화(헤더 암호화 X)하드웨어 암호시스템 : 전용 암호처리용 하드웨어 설치소프트웨어 암호시스템 : 암호처리용 소프트웨어를 사용한 데이터 암호화대칭키 암호화 : 암호화 키 == 복호화 키비대칭키 암호화 : 암호화 키 ≠ 복호화 키→ 합치면 하이브..

기밀성스누핑 : 데이터에 대한 비인가 접근 또는 탈취(암호화로 막기)트래픽분석 : 트래픽을 분석하여 다른 형태의 정보 얻기무결성변경, 가장, 재연, 부인(부인방지)가용성,서비스 거부(DoS)소극적 공격 : 정보 획득이나 사용하려는 시도(시스템 자원에는 영향을 끼치지 않는 공격 형태)적극적 공격 : 데이터를 바꾸거나 시스템에 해를 입힐 수 있음위험(risk), 위협(threat)다계층 보안Due : 특정 목적을 위하여 필요하거나 요구되는 적절하고 충분한 의무Due care : 특정 목적을 위하여 필요하거나 요구되는 충분한 주의Due Diligence : 특정 목적을 위하여 필요하거나 요구되는 충분한 노력시점별 통제예방통제 : 사전에 위협과 취약점에 대처하는 통제탐지통제 : 위협을 탐지하는 통제교정통제 : ..

소스 코드도 없고 이런 페이지만 있다./check url에서 올바른 flag값을 입력받아 그게 flag면 FLAG를 출력해주는 것 같다.하지만 replace 함수로 flag가 나오면 제거하고 있다.flag를 제거하지 못하게 우회하던지 아니면 flag를 제거해도 flag가 남아있게 만들어야 한다.정답/check?flag=flflagag이와 같이 해주면 flag를 제거당해도 flag가 남아있게 된다.

이런 화면이 나온다. 데이터베이스라고 나와있는 걸 보니 SQL Injection 문제인 것 같다.코드를 보면from flask import Flask, request, render_template_stringimport sqlite3app = Flask(__name__)def init_db(): conn = sqlite3.connect('challenge.db') c = conn.cursor() c.execute('''CREATE TABLE IF NOT EXISTS users (id INTEGER PRIMARY KEY, username TEXT, password TEXT, secret TEXT)''') c.execute("INSERT OR IGNORE INTO users (id, u..