3과목] 어플리케이션 보안 - 2)WEB, SET, SSL

1.Web

 -로그

`/var/log/httpd/`

1)access_log

->CLF(Common Log Format)이 기본 포맷.

->웹서버에 접근 기록이 저장됨.

2)error_log

->웹서버의 에러 기록이 저장됨.

->에러 순위

`debug < info < notice < warn < error < crit < alert < emerg`

->아파치 설정파일에서 에러 기준 설정 가능.

->에러 기준이 warn 이면,  그 이상의 에러가 로그로 기록됨.

 -방화벽

1)WebKnight

->AQTRONIX사의, 무료 IIS 웹 방화벽.

2)mod_security 

->apache 보안 모듈

->침입탐지 및 차단 기능.

->세부 기능

1)Request/HTTPS/압축파일 필터링

2)Anti-evasion techniques: 분석 전에, 경로나 파라미터 값을 표준화.

3)Understanding of the HTTP protocol: 파라미터나 쿠키 값을 이해. 

4)POST payload Analysis: POST 콘텐츠 스니핑 가능.

5)Audit Logging: 모든 세부사항 기록.

 -DNS 취약점

1)BIND DNS 서비스 방해 공격

->BIND 네임서버에 조작된 RDATA의 로드 후 리소스 레코드 요청시 BIND DNS가 잠김.

->CVE-2012-5166.

2)DNS Cache Poisoning 공격

->DNS 서버에 조작된 쿼리를 전송해, DNS Cache 정보를 변조.

2.SET(Secure Electronic Transaction)

 -신용카드 기반의 전자지불 프로토콜.

 -STT(MS+VISA) + SEPP(MasterCard + 네스케이프) +  IBM 등 다양한 업체가 함께 개발.

 -구성도

*지불 게이트 웨이: 상점이 전달한 카드로 금융기관에 결제요청.

*인증기관: SET 참여자에게 공개키 발급.

 -암호화 기술

1)비밀키(대칭형)

->전자문서를 암호화.

->DES(56bit)

2)공개키(비대칭형)

->비밀키를 공개키 방식으로 키 분배.

->RSA(1024bit)

3)전자봉투(Digital Envelope)

->송신자가 전송하는 패킷을 전자봉투라고 하는듯.

4)전자서명(Digital Signature)

->서명자의 인증과 전자문서의 신뢰를 위함.

->RSA(1024bit)

5)해쉬함수

->전자문서를 해쉬를 이용해 암호화.

->SHA-1(160bit)

 -장단점

>장점

1)사기 방지

2)기존 신용카드 시스템 활용.

3)SSL의 단점(상인에게 지불정보를 노출) 해결.

>단점

1)암호화가 복잡.

2)RSA 암호화로 인한 속도저하.

3)별도의 하드웨어, 소프트웨어 요구.

 -주문정보의 `이중서명`

*이중서명의 복호화

1)이중서명을 받은 대상(상인/매입사)은 주문정보, 지불정보에 

 대한 메시지 다이제스트를 구함.

2)이중서명을 고객의 개인키로 푼 것과 비교하여 서명 확인.

 

3.SSL(SEcure Socket Layer) 

 -웹 브라우저를 위한 보안 프로토콜.

 -기능

->무결성/기밀성/웹사이트 인증

 -네스케이프사의 네비게이터 2.0버전에 포함.

 -2.0은 보안취약점 문제로, 1999년 TLS(Transparent Layer Security)로 표준화 됨. 

     ->WTLS: 무선환경에 최적화 된 TLS 버전.

 -응용 계층에서 동작.

->HTTP, LDAP, IMAP 등에서 사용.

->HTTPS(SSL-enable HTTP): SSL이 적용된 HTTP.

 -구조

*2계층으로 구분된다. (Handshake ~~/ Record Layer)

>제어 프로토콜(상위)

1)Handshake

->고객과 서버를 상호인증.

->암호 알고리즘, MAC 알고리즘 등 보안 속성을 협상(설정)

->세션키 생성.

2)Change Cipher Spec

->협상된 암호화 방법에 따라 레코드 계층 메시지를 보호할 것임을 명시.

3)Alert

->다양한 에러메시지.

>레코드 프로토콜(하위)

1)협의된 암호화 방법을 통한 암호화.

2)협의된 MAC을 이용한 무결성.

3)협의된 압축 알고리즘을 이용한 에니지 압축.

 -SSL 핸드쉐이크

//나중에 문제 나오면 적는걸로, 내용이 많고 설명도 이상함.

 -2.0/3.0 비교