728x90
반응형

취약점 공격

SQL Injection

  • 웹 응용 프로그램에 SQL 삽입하여, 서버 데이터 유출 및 관리자 인증 우회 방법
  • 동적 쿼리에 사용되는 입력 데이터에 예약어 및 특수만자 입력되지 않게 필터링시켜 방지
    • 동적 쿼리: 질의어 코드를 문자열 변수에 넣어 조건에 따라 질의를 동적으로 변경하여 처리

크로스사이트 스크립팅 XSS

  • 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취 및 비정상적 기능 수행 유발
  • HTML 태그의 사용을 제한 및 스크립트에 삽입되지 않도록 다른 문자로 치환하여 방지

운영체제 명령어 삽입

  • 외부 입력값을 통해 시스템 명령어의 실행 유도하여 권한 탈취 및 시스템 장애 유발
  • 웹 인터페이스를 통해 시스템 명령어가 전달되지 않도록하고, 외부 입력값을 검증 없이 내부 명령어로 사용하지 않게끔 함

서비스 공격 유형

서비스 공격 (Dos; Denial of Service)

  • 서비스 자원을 고갈시킬 목적으로, 다수의 공격자/시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송

Ping of Death

  • Ping 명령을 전송할 때, 인터넷 프로토콜 허용 범위 이상으로 전송하여 네트워크 마비시키는 공격

스머핑 SMURFING

  • IP 나 ICMPO의 특성을 악용하여, 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격

DDoS

  • 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 서비스 거부 공격을 수행하는 것
  • 취약점 가진 호스트들에 공격용 툴을 설치해 에이전트로 만듬

네트워크 침해 관련 용어 정리

  • 스미싱: 문자 메세지를 이용해 정보 빼내는 기법
  • 스니핑: 네트워크의 중간에서 남의 패킷 정보를 도청하는 유형. 수동적 공격에 해당
  • ARP 스푸핑: 자신의 물리적 주소(MAC)을 공격 대상의 것으로 변조해서 공격 대상에 도달해야하는 데이터 패킷을 가로채거나 방해

정보 보안 침해 공격 관련 용어 정리

  • 웜: 네트워크를 통해 자신을 복제하여 시스템 부하를 높여 다운시키는 바이러스의 일종.
    • 분산 서비스 거부 공격, 버퍼 오버플로 공격, 슬래머 등
  • 랜섬웨어: 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일등을 암호화하여 돈 요구
  • 트로이목마: 정상적인 기능을 하는 프로그램으로 위장하여 숨어있다가 부작용 일으킴. 복제 기능 없음

취약점 방어

NULL 포인터 역참조

  • NULL Pointer가 가리키는 메모리의 위치에 값을 저장할 때 발생하는 보안 약점
  • 포인터 이용 전 NULL 값 존재 여부 체크 함으로 방지

스택가드

  • 주소가 저장되는 스택에서 발생하는 보안 약점을 막는 기술
  • 프로그램 복귀 주소와 변수 사이 특정 값을 저장한 후, 그 값이 변경되었을 경우 오버플로우 상태로 판단하여 실행 중단
728x90
반응형
저작자표시 비영리 변경금지 (새창열림)

'백엔드 Backend' 카테고리의 다른 글

[테스팅] 어플리케이션 테스팅  (2) 2024.11.01
[결합도/응집도] 결합도와 응집도란  (0) 2024.10.24
악성코드 종류  (0) 2024.10.16
SOLID 원칙  (0) 2024.10.08
비동기 Asynchronous 란?  (0) 2024.10.04
728x90
반응형

어플리케이션 테스트

  • 어플리케이션에 잠재된 결함을 찾아내는 일련의 행위 또는 절차
    • Verification 검증 -> 개발자 입장, 소프트웨어 명세서 만족
    • Validation 확인 -> 사용자 입장, 고객 요구사항 만족

어플리케이션 테스트 원리

  • 완벽한 테스트는 불가능
    • 잠재적 결함을 줄일 수 있지만, 결함이 없다고 증명할 수 없음
  • 파레토 법칙
    • 어플리케이션의 20% 코드에서 전체 결함의 80%가 발견
  • 살충제 패러독스
    • 동일한 테스트 케이스 반복하면 더 이상 결함이 반복되지 않음
  • 테스팅은 정황(Context)에 의존적
    • 정황에 따라 테스트 결과가 달라질 수 있기에, 정황에 따른 테스트 수행
  • 오류-부재의 궤변
    • 결함을 모두 제거해도 사용자 요구사항 만족시키지 못하면 품질이 높지 못함

어플리케이션 테스트 분류

실행 여부 따라

  • 정적 테스트 따라 -> 실행X
    • 워크스루(검토회의) -> 전문가 직접 검토, 절차 따라, 오류 조기 검출
    • 인스펙션 -> 워크스루의 발전, 산출된 결과물 품질 평가 및 개선 방법 제시
  • 동적 테스트 -> 실행 O, 모든 단계
  • 화이트박스 테스트 / 블랙박스 테스트

테스트 기반에 따라

  • 명세 기반 테스트 -> 사용자 요구사항 명세
  • 구조 기반 테스트 -> SW 내부 논리 흐름
  • 경험 기반 테스트 -> 테스터의 경험, 체크리스트

시각에 따라

  • Verification 검증 테스트 -> 개발자 시각, 제품 명세서
  • Validation 확인 테스트 -> 사용자 시각, 사용자 요구사항

목적에 따라

  • Recovery 회복 테스트 -> 실패시키고 올바르게 복구되는가
  • Security 안전 테스트 -> 보호 도구가 볼법 침입으로부터 보호하는가
  • Stress 강도 테스트 -> 과부하 시 정상적으로 실행되는가
  • Performance 성능 테스트 -> 실시간 성능, 전체 효율성 등 응답시간 및 처리량
  • Structure 구조 테스트 -> 내부 논리적 경로, 소스코드 복잡도
  • Regression 회귀 테스트 -> 변경/수정된 코드에 새로운 결함이 없는가. 즉 반복 테스트
  • Parallel 병행 테스트 -> 변경된 SW와 기존 SW 동일한 데이터 입력해서 결과 비교

테스트 기법에 따라

화이트박스 테스트

  • 내부 논리적 경로 및 모듈 안의 내용 볼수 있어서, 내부의 논리적인 모든 경로 테스트
  • 종류
    • 기초경로 검사 -> 대표적. 절차적 설계의 논리적 복잡성 측정
    • 제어구조 검사 -> 조건 검사: 논리적 조건
  • 검증 기준
    • 문장 검증 기준 -> 모든 구문 한 번 이상
    • 분기 검증 기준 -> 모든 조건문의 조건식 결과가 (True, False) 한 번 이상
    • 조건 검증 기준 -> 조건문의 개별 조건식 결과가 (True, False) 한 번 이상
    • 분기/조건 기준 -> 분기 검증 기준, 조건 검증 기준 모두 만족

블랙박스 테스트

  • 각 기능이 완전히 작동되는 것을 입증하는 테스트
  • 종류
    • 동치 분할 검사 Equivalence Partitioning Testing
      • 타당/타당하지 않은 입력 자료 개수가 균등할 때, 입력자료에 맞는 결과가 출력되는지 확인
    • 경계값 분석 Boundary Value Analysis
      • 중간값보다 경계값에서 오류 발생 확률 높음. 경계값을 테스트 케이스로
    • 원인-효과 그래프 검사 Cause-Effect Graphing Test
      • 입력 데이트간 관계와 출력에 영향 미치는 상황 분석 후, 효용성 높은 테스트 케이스 선정
    • 오류 예측 검사 Error Guessing
      • 과거의 경험. 확인자 감각으로 테스트
    • 비교 검사 Comparison Testing
      • 여러 버전에 동일한 테스트 자료 제공, 동일한 결과 출력되는지 테스트
        => 동적 테스트, 명세 기반 테스트, 경험 기반 테스트에 해당
728x90
반응형
저작자표시 비영리 변경금지 (새창열림)

'백엔드 Backend' 카테고리의 다른 글

[보안] 보안 공격 종류  (0) 2024.11.04
[결합도/응집도] 결합도와 응집도란  (0) 2024.10.24
악성코드 종류  (0) 2024.10.16
SOLID 원칙  (0) 2024.10.08
비동기 Asynchronous 란?  (0) 2024.10.04
728x90
반응형

인덱스

  • 검색 속도를 높이기 위한 색인 기술
  • JOIN / WHERE 에 사용됨
  • 인덱스 없는 데이터 조회 시
    • 전체 데이터 페이지의 첫 레코드 -> 마지막 레코드까지 모두 조회 == FULL SCAN
    • 때문에 속도가 느림
  • 그러나 INDEX를 많이 설정한다고 조회 속도가 빨라지지 않음
    • INDEX는 테이블 형태로 저장하는 것임
    • 즉 인덱스가 많아지면 데이터베이스 메모리를 많이 잡아 먹음
    • 인덱스로 지정된 칼럼 값이 변동되면, 인덱스 테이블이 갱신되므로 느려짐
    • 때문에 쿼리문 자체가 빨라질 수도 있지만, 전체적 데이터베이스 부하가 증가함
  • SELECT는 빠르지만, UPDATE / INSERT / DELETE 속도는 느림
    • UPDATE / DELETE 시 WHERE을 통해 데이터 조회 자체는 빠름
    • 그러나 데이터 변경 / 삭제 자체는 느림

  • 카디널리티 : 카디널리티가 높으면 인덱스 설정에 좋은 칼럼
    • 카디널리티가 높다 == 한 칼럼이 갖고 있는 값의 중복도가 낮음 (대부분 다른 값을 가짐)
    • 인덱스 통해 불필요한 데이터 대부분을 걸러낼 수 있음
  • 선택도: 선택도가 낮으면 인덱스 설정에 좋음
    • 선택도가 높다 == 한 칼럼이 갖고 있는 값 하나로 여러 row가 찾아진다.
  • 조회 활용도: 조회 활용도가 높으면 인데스 설정에 좋은 칼럼
    • WHERE 문의 대상 칼럼으로 많이 활용되는지
  • 수정 빈도: 수정 빈도가 낮으면 인덱스 설정에 좋은 칼럼
    • 인덱스도 테이블
    • 따라서 지정된 칼럼 값이 인덱스 테이블이 새롭게 갱시되어야 함

용어

  • HEAP: 데이터 저장 시 내부적으로 아무런 순서 없이 저장된 데이터 저장 영역 
    CREATE INDEX user_idx ON user_table (user_name);
728x90
반응형
저작자표시 비영리 변경금지 (새창열림)

'백엔드 Backend > DB' 카테고리의 다른 글

[Ontology] PostgreSQL로 온톨로지 DB 구축 시 주의점  (1) 2024.11.28
[Ontology] 온톨로지 데이터베이스란?  (2) 2024.11.27
[DATABASE] 조인(JOIN)  (1) 2024.10.14
[DATABASE] 역정규화란?  (0) 2024.10.11
[DATABASE] 정규화란?  (2) 2024.10.10

+ Recent posts

티스토리툴바