Ctrl + C , Ctrl + V

개인정보 탐지을 위한 정규식 class regex { String[] infos = {"0(2|31|32|33|41|42|43|51|52|53|54|55|61|62|63|64|10|11|16|17|18|19|12|15)([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{3,4})([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{4})" //전화번호 ,"(\\d{6})([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{1})(\\d{6})" //주민등록번호 ,"([0-9a-zA-Z])([-_\\.]?[0-9a-zA-Z]){0,20}(@)([0-9a-zA-Z]([-_\\.]?[0-9a-zA-Z]){0,254}\\.[a-zA-Z]{2,4})"//이메일 ,"(\\d{4})([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{3})(\\d{1})([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{4})([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{4})"//카드번호 ,"(\\d{3})([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{2})([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{4})(\\d{1})" //사업자등록번호 ,"(서울|부산|대구|인천|광주|대전|울산|경기|강원|충북|충남|전북|전남|경북|경남|제주)([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{2})([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{6})([-\\s\\t\\n\\x0B\\f\\r]*)(\\d{2})" //운전면허번호 ,"(^|\\s)([a-zA-Z]{2})(\\d{3})(\\d{4})($|\\s)"}; //여권번호 String PH = "0(2|31|32|33|41|42|43|51|52|53|54|55|61|62|6

이번년도 목표 1순위로 KISA에서 주관하는 정보보안기사 취득을 목표로 잡았다. 난이도가 어렵다고 소문이 나있는 자격증시험이였는데... 단답형에서 조지긴 했지만 생각보다는 잘봤다고 생각이 드네... 근자감.. 가 채점을 하면 간당간당하게 합격한거 같지만, 아에 탈락도 아니고 100% 붙었다할 상황도 아니여서 합격발표날 까지 신경쓰일거 같다 ㅠ 기억을 더듬어서 문제와 답안 작성내용을 복원 1. MAC주소를 변경해서 중간자 공격하는 공격의 이름은?  내가 쓴 답 : APR Spoofing 2. 침해사고 발생시 ~~구 하는 조직을 ( ) 라고 함  내가 쓴 답 : 침해사고대응팀 CERT (100% 틀림) 3. 침입탐지방법 중 취약점 패턴에 정의된거 잡는 ( ) 와 정상적인 패턴에 벋어나는 걸  잡는( ) 가 있고~~ 정상적인데 비정상이라고 판별하는걸 ( ) 라고한다.  내가 쓴 답 : 오용탐지, 비정상탐지 , Flase Positive 4. Git hub를 대상으로 DDOS공격한 ~~~ DNS ~~~~~  내가 쓴 답 : DNS캐시 (100% 틀림) 5. /etc/ 내 존재하는 파일로 패스워드 정책을 변경하는 파일?  내가 쓴 답 : shadow (틀린 듯) 6. 위험대응을 위해 보험가입을 하는건 어떤 방식의 위험대응인가?  내가 쓴 답 : 위험전가 7. 웹 취약점을 점검할 때 입력필드에 직접 입력하여 점검 하는것을 ( ) 점검, 소스코드를 보며 취약점을 점검하는 것을 ( ) 점검 이라고 한다.  내가 쓴 답 : 동적, 정적 8. (ㄱ) 위험분석방법 , (ㄴ)위험분석  내가 쓴 답 : 정량법, 델파이법 (100% 틀림) 9. 체크리스트 방식(정확히는 이말은 없었지만 비슷하게 씀)은 무슨 분석 방법?  내가 쓴 답 : 기준선 접근법 10. ( ) 는 조직의 정보보안 ~~~ 재해복구, 업무연속성 ~~~ 이다.  내가 쓴 답 : 정보보호관리체계 ( 틀린 듯) 11. .htaccess 파일 문제

2007년 이 후 3년마다 개정되던 OWASP Top 10이였는데 이번에는 4년만에 개정(예정) 발표되었네요. 아직 릴리즈 버전이라 그런지 능력자분들께서 따로 해설을 내놓지 않은 상황이라 대충 정리해 봤습니다. (틀린 부분은 마구마구 댓글로 비난해주세요) 욕을 먹다보면 더 완벽한 버전으로 정리가 될거같네요. :-) 개요 개인적으로 아쉬운점으로는 2013버전에서 리다이렉트 항목이 제외된 것이 아쉽네요. (어플리케이션 QA, 보안진단 등을 할때 정 할거 없으면 리다이렉트라도 건들면......) A4 취약한 접근 제어 기존의 항목을 통합한 내용으로 별혼동은 안될 것 같습니다. 예시가 정확한 것인지는 모르겠는데 아마 맞을겁니다. ㅎㅎ A7 공격 방어 취약점 해당 항목은 이전에는 관리적 보안 쪽으로 분류되었지 않았나 싶네요..? 그러나 일부 기관에서 예전부터 점검항목에 포함시킨 내용으로 계정잠금 임계값 설정이 존재하긴 했습니다.  해당 항목의 개발 단조치 (소스코드 예제) 및 서버 설정 (쉘스크립트,파이썬 스크립트 예제)는 고기먹고 힘났을 때 다음 포스팅으로 작성해서 올리겠습니다. (이번 주말쯤) A10 취약한 API 이 항목은 정말 잘 넣은 것 같습니다. 실제 피해사례가 적다고 하더라도 상징적으로 존재해야된다고 생각했던 항목입니다. 보통 취약점이 발견되어  보안노예 : "당신 시스템에서 사용하는 @@@API 취약합니다"    ???     :  "@@@는 내 시스템 아님 "                "그리고 이런 항목은 OWASP에 없잖아? 근데 왜 내가 고침 ?" 이런식의 시나리오가 발생하는 경우가 존재 합니다. 처음 블로그를 운영해보게되어 내용이 잘 전달되었는지 모르겠네요.. 틀린부분 많이 지적 부탁드립니다 :-)  웃는얼굴에 욕은 안하겠지:-) :