취약점 공격

SQL Injection

• 웹 응용 프로그램에 SQL 삽입하여, 서버 데이터 유출 및 관리자 인증 우회 방법
• 동적 쿼리에 사용되는 입력 데이터에 예약어 및 특수만자 입력되지 않게 필터링시켜 방지
  • 동적 쿼리: 질의어 코드를 문자열 변수에 넣어 조건에 따라 질의를 동적으로 변경하여 처리

크로스사이트 스크립팅 XSS

• 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취 및 비정상적 기능 수행 유발
• HTML 태그의 사용을 제한 및 스크립트에 삽입되지 않도록 다른 문자로 치환하여 방지

운영체제 명령어 삽입

• 외부 입력값을 통해 시스템 명령어의 실행 유도하여 권한 탈취 및 시스템 장애 유발
• 웹 인터페이스를 통해 시스템 명령어가 전달되지 않도록하고, 외부 입력값을 검증 없이 내부 명령어로 사용하지 않게끔 함

서비스 공격 유형

서비스 공격 (Dos; Denial of Service)

• 서비스 자원을 고갈시킬 목적으로, 다수의 공격자/시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송

Ping of Death

• Ping 명령을 전송할 때, 인터넷 프로토콜 허용 범위 이상으로 전송하여 네트워크 마비시키는 공격

스머핑 SMURFING

• IP 나 ICMPO의 특성을 악용하여, 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격

DDoS

• 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 서비스 거부 공격을 수행하는 것
• 취약점 가진 호스트들에 공격용 툴을 설치해 에이전트로 만듬

네트워크 침해 관련 용어 정리

• 스미싱: 문자 메세지를 이용해 정보 빼내는 기법
• 스니핑: 네트워크의 중간에서 남의 패킷 정보를 도청하는 유형. 수동적 공격에 해당
• ARP 스푸핑: 자신의 물리적 주소(MAC)을 공격 대상의 것으로 변조해서 공격 대상에 도달해야하는 데이터 패킷을 가로채거나 방해

정보 보안 침해 공격 관련 용어 정리

• 웜: 네트워크를 통해 자신을 복제하여 시스템 부하를 높여 다운시키는 바이러스의 일종.
  • 분산 서비스 거부 공격, 버퍼 오버플로 공격, 슬래머 등
• 랜섬웨어: 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일등을 암호화하여 돈 요구
• 트로이목마: 정상적인 기능을 하는 프로그램으로 위장하여 숨어있다가 부작용 일으킴. 복제 기능 없음

취약점 방어

NULL 포인터 역참조

• NULL Pointer가 가리키는 메모리의 위치에 값을 저장할 때 발생하는 보안 약점
• 포인터 이용 전 NULL 값 존재 여부 체크 함으로 방지

스택가드

• 주소가 저장되는 스택에서 발생하는 보안 약점을 막는 기술
• 프로그램 복귀 주소와 변수 사이 특정 값을 저장한 후, 그 값이 변경되었을 경우 오버플로우 상태로 판단하여 실행 중단

어플리케이션 테스트

• 어플리케이션에 잠재된 결함을 찾아내는 일련의 행위 또는 절차
  • Verification 검증 -> 개발자 입장, 소프트웨어 명세서 만족
  • Validation 확인 -> 사용자 입장, 고객 요구사항 만족

어플리케이션 테스트 원리

• 완벽한 테스트는 불가능
  • 잠재적 결함을 줄일 수 있지만, 결함이 없다고 증명할 수 없음
• 파레토 법칙
  • 어플리케이션의 20% 코드에서 전체 결함의 80%가 발견
• 살충제 패러독스
  • 동일한 테스트 케이스 반복하면 더 이상 결함이 반복되지 않음
• 테스팅은 정황(Context)에 의존적
  • 정황에 따라 테스트 결과가 달라질 수 있기에, 정황에 따른 테스트 수행
• 오류-부재의 궤변
  • 결함을 모두 제거해도 사용자 요구사항 만족시키지 못하면 품질이 높지 못함

어플리케이션 테스트 분류

실행 여부 따라

• 정적 테스트 따라 -> 실행X
  • 워크스루(검토회의) -> 전문가 직접 검토, 절차 따라, 오류 조기 검출
  • 인스펙션 -> 워크스루의 발전, 산출된 결과물 품질 평가 및 개선 방법 제시
• 동적 테스트 -> 실행 O, 모든 단계
• 화이트박스 테스트 / 블랙박스 테스트

테스트 기반에 따라

• 명세 기반 테스트 -> 사용자 요구사항 명세
• 구조 기반 테스트 -> SW 내부 논리 흐름
• 경험 기반 테스트 -> 테스터의 경험, 체크리스트

시각에 따라

• Verification 검증 테스트 -> 개발자 시각, 제품 명세서
• Validation 확인 테스트 -> 사용자 시각, 사용자 요구사항

목적에 따라

• Recovery 회복 테스트 -> 실패시키고 올바르게 복구되는가
• Security 안전 테스트 -> 보호 도구가 볼법 침입으로부터 보호하는가
• Stress 강도 테스트 -> 과부하 시 정상적으로 실행되는가
• Performance 성능 테스트 -> 실시간 성능, 전체 효율성 등 응답시간 및 처리량
• Structure 구조 테스트 -> 내부 논리적 경로, 소스코드 복잡도
• Regression 회귀 테스트 -> 변경/수정된 코드에 새로운 결함이 없는가. 즉 반복 테스트
• Parallel 병행 테스트 -> 변경된 SW와 기존 SW 동일한 데이터 입력해서 결과 비교

테스트 기법에 따라

화이트박스 테스트

• 내부 논리적 경로 및 모듈 안의 내용 볼수 있어서, 내부의 논리적인 모든 경로 테스트
• 종류
  • 기초경로 검사 -> 대표적. 절차적 설계의 논리적 복잡성 측정
  • 제어구조 검사 -> 조건 검사: 논리적 조건
• 검증 기준
  • 문장 검증 기준 -> 모든 구문 한 번 이상
  • 분기 검증 기준 -> 모든 조건문의 조건식 결과가 (True, False) 한 번 이상
  • 조건 검증 기준 -> 조건문의 개별 조건식 결과가 (True, False) 한 번 이상
  • 분기/조건 기준 -> 분기 검증 기준, 조건 검증 기준 모두 만족

블랙박스 테스트

• 각 기능이 완전히 작동되는 것을 입증하는 테스트
• 종류
  • 동치 분할 검사 Equivalence Partitioning Testing
    • 타당/타당하지 않은 입력 자료 개수가 균등할 때, 입력자료에 맞는 결과가 출력되는지 확인
  • 경계값 분석 Boundary Value Analysis
    • 중간값보다 경계값에서 오류 발생 확률 높음. 경계값을 테스트 케이스로
  • 원인-효과 그래프 검사 Cause-Effect Graphing Test
    • 입력 데이트간 관계와 출력에 영향 미치는 상황 분석 후, 효용성 높은 테스트 케이스 선정
  • 오류 예측 검사 Error Guessing
    • 과거의 경험. 확인자 감각으로 테스트
  • 비교 검사 Comparison Testing
    • 여러 버전에 동일한 테스트 자료 제공, 동일한 결과 출력되는지 테스트
      => 동적 테스트, 명세 기반 테스트, 경험 기반 테스트에 해당

인덱스

• 검색 속도를 높이기 위한 색인 기술
• JOIN / WHERE 에 사용됨
• 인덱스 없는 데이터 조회 시
  • 전체 데이터 페이지의 첫 레코드 -> 마지막 레코드까지 모두 조회 == FULL SCAN
  • 때문에 속도가 느림
• 그러나 INDEX를 많이 설정한다고 조회 속도가 빨라지지 않음
  • INDEX는 테이블 형태로 저장하는 것임
  • 즉 인덱스가 많아지면 데이터베이스 메모리를 많이 잡아 먹음
  • 인덱스로 지정된 칼럼 값이 변동되면, 인덱스 테이블이 갱신되므로 느려짐
  • 때문에 쿼리문 자체가 빨라질 수도 있지만, 전체적 데이터베이스 부하가 증가함
• SELECT는 빠르지만, UPDATE / INSERT / DELETE 속도는 느림
  • UPDATE / DELETE 시 WHERE을 통해 데이터 조회 자체는 빠름
  • 그러나 데이터 변경 / 삭제 자체는 느림

팁

• 카디널리티 : 카디널리티가 높으면 인덱스 설정에 좋은 칼럼
  • 카디널리티가 높다 == 한 칼럼이 갖고 있는 값의 중복도가 낮음 (대부분 다른 값을 가짐)
  • 인덱스 통해 불필요한 데이터 대부분을 걸러낼 수 있음
• 선택도: 선택도가 낮으면 인덱스 설정에 좋음
  • 선택도가 높다 == 한 칼럼이 갖고 있는 값 하나로 여러 row가 찾아진다.
• 조회 활용도: 조회 활용도가 높으면 인데스 설정에 좋은 칼럼
  • WHERE 문의 대상 칼럼으로 많이 활용되는지
• 수정 빈도: 수정 빈도가 낮으면 인덱스 설정에 좋은 칼럼
  • 인덱스도 테이블
  • 따라서 지정된 칼럼 값이 인덱스 테이블이 새롭게 갱시되어야 함

용어

• HEAP: 데이터 저장 시 내부적으로 아무런 순서 없이 저장된 데이터 저장 영역

  CREATE INDEX user_idx ON user_table (user_name);

UBUNTU에 Go 설치하기

• 항상 컨테이너로 GO 프로그램을 돌렸지만, 불가피하게 로컬에 GO를 설치해 빌드하고 돌려야 할 상황이 와서 해당 내용을 기록한다.

소스 다운 받아서 설치하기

최신 버전 확인

• 공식 사이트의 Golang 버전 확인 후 다운받기 (2024.10.21 시점 1.23.2)
• 공식 사이트

WGET을 이용해 다운로드

• WGET을 이용해 다운받기

  wget https://go.dev/dl/go1.23.2.linux-amd64.tar.gz

압축 해제

• 다운 받은 압축 파일 해제

  sudo tar -C /usr/local -xzf go1.23.2.linux-amd64.tar.gz

경로 설정

vi ~/.profile

# 파일 마지막 줄 아래에 내용 추가
export PATH=$PATH:/usr/local/go/bin
export GOPATH=$HOME/go
export PATH=$PATH:$GOPATH/bin

변경 사항 적용

source ~/.profile

Go 버전 확인

go version

UBUNTU 피키지 매니저로 다운받기

패키지 인덱스 업데이트

sudo apt update

GO 설치

sudo apt-get install golang-go

Go 버전 확인

go version

결합도 Coupling

• 외부 모듈과의 연관도 또는 모듈 간의 상호의존성을 나타내는 정도
• 소프트웨어 구조에서 모듈간의 관련성을 측정하는 척도
• 한 모듈이 변경되기 위해서 다른 모듈의 변경을 요구하는 정도
  • 결합도가 높을 수록 함께 변경해야 하는 모듈의 수가 늘어나게 됨

결합도 특징

• 모듈 연관성 없음
• 인터페이스 의존성
• 복잡성 감소
• 파급효과 최소화

결합도의 유형

• 자료 < 스탬프 < 제어 < 외부 < 공통 < 내용
• 내용 결합도
  • 다른 모듈 내부에 있는 변수나 기능을 다른 모듈에서 사용하는 경우의 결합도
  • 하나의 모듈이 직접적으로 다른 모듈의 내용을 참조할 때 두 모듈은 내용적으로 결합된 경우의 결합도
• 공통 결합도
  • 파라미터가 아닌 모듈 밖에 선언되어 있는 전역 변수를 참조하고, 전역 변수를 갱신하는 식으로 상호작용 하는 경우의 결합도
• 외부 결합도
  • 모듈이 다수의 관련 기능을 가질 때 모듈 안의 구성요소들이 그 기능을 순차적으로 수행할 경우의 결합도
• 제어 결합도
  • 어떤 모듈이 다른 모듈의 내부 논리 조직을 제어하기 위한 목적으로 제어 신호를 이용해 통신하는 경우의 결합도
  • 하위 모듈에서 상위 모듈로 제어 신호가 이동하여 상위 모듈에게 처리 명령을 부여하는 권리 전도 현상 발생하는 결합도
• 스탬프 결합도
  • 모듈 간의 인터페이스로 배열이나 객체, 구조 등이 전달되는 경우의 결합도
• 자료 결합도
  • 모듈 간의 인터페이스로 전달되는 파라미터를 통해서만 모듈간의 상호 작용이 일어나는 경우의 결합도

응집도 Cohesion

• 모듈의 독립성을 나타내는 개념
• 모듈 내부 구성요소 간 연관 정도 의미
• 하나의 모듈은 하나의 기능을 수행하는 것을 의미
• 즉 변경이 발생할 때 모듈 내부에서 발생하는 변경의 정도
  • 하나의 변경을 수용하기 위해 모듈 전체가 변경 -> 높은 응집도
  • 하나의 변경을 수용하기 위해 일부 모듈의 일부만 변경 -> 낮은 응집도

특징

• 유사기능 영역 구성
• 단일 책임 할당
• 함수 간 상호 협력

유형

• 우연적 < 논리적 < 시간적 < 절차적 < 통신적 < 순차적 < 기능적
• 우연적 응집도
  • 서로 간에 어떠한 의미 있는 연관 관계도 없는 기능 요소로 구성될 경우의 응집도
  • 서로 다른 상위 모듈에 의해 호출되어 처리상의 연관성이 없는 서로 다른 기능을 수행할 경우의 응집도
• 논리적 응집도
  • 유사한 성격을 갖거나 특정 형태로 분류되는 처리 요소들이 한 모듈에서 처리되는 경우의 응집도
• 시간적 응집도
  • 특정 시간에 처리되어야 하는 활동들을 한 모듈에서 처리할 경우의 응집도
• 절차적 응집도
  • 모듈이 다수의 관련 기능을 가질 때 모듈 안의 구성요소들이 그 기능을 순차적으로 수행할 경우의 응집도
• 통신적 응집도
  • 동일한 입력과 출력을 사용하여 다른 기능을 수행하는 활동들이 모여 있을 경우의 응집도
• 순차적 응집도
  • 모듈 내에서 한 활동으로부터 나온 출력 값을 다른 활동이 사용할 경우의 응집도
• 기능적 응집도
  • 모듈 내부의 모든 기능이 단일한 목적을 위해 수행되는 경우의 응집도

결론

• 응집도는 높아야 하고, 결합도는 느슨해야 한다.
• 설계를 변경하기에 편리해 지기 때문

_Async/Await_

자바스크립트에서 async/await는 뭘까?

async/await는?

Promise 기반으로 동작하지만, then/catch/finally 와 같은 프로미스 후속 처리 메서드에 콜백 함수를 전달하여

비동기 처리 결과를 후속 처리할 필요 없이 마치 동기 처리처럼 프로미스를 사용할 수 있다.

결과적으로 Promise를 더 쉽게 다룰 수 있게 해 준다.

async/await을 사용하면 비동기 함수들을 마치 동기 함수처럼 작성하여 동작할 수 있게 해 준다.

function getData(){

/*

 비동기 함수

 */

}

// 프로미스

new Promise((resolve, reject) => {

const result = getData();

if ( /* 비동기 작업 수행 성공 */) {

resolve(result);

} else {

reject(result);

}

})


// async/await

async function getData() {

await /* 비동기 함수 */

}

Async

async 함수는 async 키워드를 사용해 정의하고, 언제나 프로미스를 반환한다.

Await

await 키워드는 프로미스가 settled 상태가 될 때까지 대기하다가 settled 상태가 되면 프로미스가 resolve 한 처리 결과를 반환한다.

참고 링크

- async/await (https://learnjs.vlpt.us/async/02-async-await.html)

자바스크립트에서 사용되는 Promise는 무엇일까?

콜백

콜백 함수는 다른 함수에 인자로 전달되는 함수로

어떤 함수의 동작에서 이벤트가 발생하였을 때, 혹은 특정 시점에 도달했을 때 호출하는 함수이다.

아래 예시는 정말 러프하게 이해할 수 있게끔만 적어놓은 함수이다. 단순한 구조라면 콜백 구조가 깊지 않지만, 복잡도가 높아짐에 따라 콜백 함수가 중첩되고 그 깊이가 엄청나게 깊어지는 것을 콜백 지옥이라 한다.

function getData(){

  /*

  비동기 함수

  */

}


getData().then(

  // 완료 되었을 때

).then().then().catch().finally()

Promise

Promise 객체는 ES6에서 추가된 개념으로, 비동기 작업이 작업 완료 후 미래의 완료 혹은 실패 결과를 나타낸다.

기존의 방식으로는 작성하게 된다면 콜백 지옥에 빠지게 된다.

또한 Promise 객체는는 비동기 함수들을 병렬로 수행할 수 있도록 하며 .all() 메서드와 .allSettled() 메서드를 프로퍼티로 가진다.

_출처: https://adrianalonso.es/desarrollo-web/apis/trabajando-con-promises-pagination-promise-chain/_

Promise는 비동기 작업을 수행하고 그 작업의 성공 혹은 실패 함수를 호출할 수 있다.

function getData(){

  /*

  비동기 함수

  */

}


new Promise((resolve, reject) => {

  const result = getData();


  if ( /* 비동기 작업 수행 성공 */) {

    resolve(result);

  } else {

    reject(result);

  }

})

Promise의 상태(State)

Promise 객체의 상태 정보는 세가지가 있다.

• pending: 비동기 처리가 아직 수행되지 않은 상태 - Promise 객체가 생성된 직후 기본 상태
• fulfilled: 비동기 처리가 수행된 상태 (성공) -> resolve 함수 호출
• rejected: 비동기 처리가 수행된 상태 (실패) -> reject 함수 호출

정리

• Promise는 콜백 지옥에 빠지는 비동기 처리를 간결하게 처리할 수 있게 표현
• 상태에는 pending, fulfilled, rejected 가 있다.
• 실행 결과에 따라 실패 시 reject, 성공 시 resolve 함수를 호출할 수 있다.

참고 링크

- Promise (https://learnjs.vlpt.us/async/01-promise.html)

WORM

• 감염 방식 중 하나로, 여러 단말기에 분산되어 해당 단말기들에 연결된 네트워크 전체를 감염
• 트로이 목마의 위장 기능과 바이러스의 증식 기능을 탑재

Trojan horse

• 정상적인 프로그램으로 위장한 악성코드
• 시작부터 끝까지 메모리에 상주하여, 시스템 내부 정보를 공격자의 컴퓨터로 빼돌리는 프로그램
• 직접적 전파능력은 없음

Root Kit

• 공격자의 존재를 숨기면서 시스템에 대한 무제한 접근 권한 부여
• 펌웨어, 가상화 계층 등의 시스템 영역에서 작동
• 운영체제 시스템콜을 해킹하여 안티바이러스 탐지 우회 가능

Ransomware

• 피해자의 데이터나 디바이스를 점유해 데이터를 암호화 한 후, 암호키를 대가로 금품을 요구하는 악성 코드

페이지 교체 알고리즘

• 메모리를 관리하는 운영체제에서 페이지 부재가 발생하여 새로운 페이지를 할당하기 위해 현재 할당된 페이지 중 어느 것을 교체할지 결정하는 방법

FIFO

• 선입선출법. 페이지 주기억장치에 적재된 시간 기준으로 교체된 페이지 산정하는 기법
  • 중요한 페이지가 오래 있었다는 이유만으로 교체되는 문제.
  • 가장 오래 있었던 페이지는 앞으로도 계속 사용될 가능성이 있으므로.

LFU

• 가장 적은 횟수를 참조하는 페이지 교체
  • 참조될 가능성이 많음에도 불구하고 횟수에 의한 방법으로, 최근에 사용된 프로그램을 교체할 가능성 존재
  • 해당 횟수를 증가시키므로 오버헤드 발생

LRU

• 가장 오랫동안 참조되지 않은 페이지 교체
  • 프로세스가 주기억장치에 접근할 때마다 참조된 페이지에 대한 시간을 기록해야함. 큰 오버해드 발생

세타조인 (Theta Join)

• 조인에 참여하는 두 릴레이션의 속성 값을 비교하여 조건을 만족하는 튜플만 반환
• 조건은 (=, !=, >=, <=, >, <) 중 하나
• 조인에서 ON 키워드로 사용함

동등조인 (Inner Join)

• 세타조인의 하나. 세타조인 중 = 연산자를 사용하는 조인
• 동등조인의 결과 릴레이션의 차수는 첫번째 릴레이션과 두번째 릴레이션의 차수를 합한 것
  • 3 + 2 = 5 차수

자연조인

• 동등조인에서 조인에 참여한 속성이 두 번 나오지 않도록, 중복된 속성 제거 결과 반환
• 차수는 (두 릴레이션의 차수의 합) - (중복된 속성 수)

외부조인

왼쪽 외부 조인 (left outer join)

• 왼쪽 투플 기준으로, 자연조인 시 실패한 튜플을 모두 보여주되 값이 없는 대응 속성에는 NULL 값으로 채워 반환

오른쪽 외부 조인 (right outer join)

• 오른쪽 튜플 기준으로, 자연조인 시 실패한 튜플을 보여주되 값이 없는 대응 속성에는 NULL 값을 반환

완전 외부 조인 (full outer join)

• 양쪽 튜플 기준으로 자연조인 시 실패한 튜플을 모두 보여주되 값이 없는 대응 속성에는 NULL 값을 채워서 반환