보안

출처: https://info-lab.tistory.com/292 01.주민등록번호(\d{6}[ ,-]-?[1-4]\d{6})|(\d{6}[ ,-]?[1-4]) 02.운전면허번호(\d{2}-\d{2}-\d{6}-\d{2}) 03.전화번호/휴대전화번호(\d{2,3}[ ,-]-?\d{2,4}[ ,-]-?\d{4}) 04.이메일(([\w!-_\.])*@([\w!-_\.])*\.[\w]{2,3}) 05.주소((([가-힣]+(\d{1,5}|\d{1,5}(,|.)\d{1,5}|)+(읍|면|동|가|리))(^구|)((\d{1,5}(~|-)\d{1,5}|\d{1,5})(가|리|)|))([](산(\d{1,5}(~|-)\d{1,5}|\d{1,5}))|)|(([가-힣]|(\d{1,5}(~|-)\d{1,5})|\d{1,5})+(로|길))) 06.나이/생년월일(\d{0,4}(년생|월생|세|살)) 07.계좌번호([0-9,\-]{3,6}\-[0-9,\-]{2,6}\-[0-9,\-]) 08.신용카드번호[34569][0-9]{3}[-~.[ ]][0-9]{4}[-~.[ ]][0-9]{4}[-~.[ ]][0-9]{4} 09.건강보험번호[1257][-~.[:space:]][0-9]{10} 10.외국인등록번호([01][0-9]{5}[[:space:]~-]+[1-8][0-9]{6}|[2-9][0-9]{5}[[:space:]~-]+[1256][0-9]{6}) 11.여권번호([a-zA-Z]{1}|[a-zA-Z]{2})\d{8}

Code Open Source

■관련 용어  ·IaC: 코드형 인프라(Infrastructure as Code, IaC)    하드웨어 및 수동 프로세스가 아닌 소프트웨어 및 자동화된 프로세스를 통해 인프라를 관리하고 프로비저닝하는 방식.    Snyk에서는 외부 Git(SCM)과 연동하여 소스코드를 자동으로 내려받아 진단해 주는 프로세스를 의미.    https://www.vmware.com/kr/topics/glossary/content/infrastructure-as-code.html    https://osbc.co.kr/page/oss_snyk_iac   ·SBOM(Software Bill Of Materials):    소프트웨어의 구성 요소를 나타내는 메타데이터를 의미. ■snyk 기본 설명:  https://snyk.io/product/open-source-security-management/

#!/bin/bash####################################################################### Let’s Encrypt 인증서 설치 스크립트## https://letsencrypt.org/ko/###################################################################### ###################################################################### Let’s encrypt로 SSL 인증서 받는 4가지 방법## ■webroot: 사이트 디렉토리 내에 인증서 유효성을 확인할 수 있는 파일을 업로드하여 인증서를 발급하는 방법# – 실제 작동하고 있는 웹서버의 특정 데렉토리의 특정 파일 쓰기 작업을 통해서 인증# – 이 방식의 장점은 nginx를 중단시킬 필요가 없음.# – 이 방법의 단점은 인증

정적 분석 도구의 사용법을 이해하는 데 도움이 되는 ‘Taint 분석’에 대한 설명을 드리겠습니다. Taint 분석은 정적이나 동적으로 프로그램을 분석할 때 모두 사용할 수 있는 방법 중의 하나로, 프로그램의 흐름에 따라 사용자의 입력을 추적하면서 분석하는 방법입니다. Taint 분석 시 알아두면 좋은 용어가 두 개 있는데요. 바로 ‘taint source’와 ‘sink’입니다. 사용자의 입력으로 만들어진 값을 오염(taint)된 값이라고 하고

출처: http://blog.naver.com/alice_k106/221305928714■ iptables 개념 : 테이블과 체인iptables에는 테이블(Table)과 체인(Chain) 이라는 큰 분류가 있으며, 그 안에 규칙을 정의해 패킷의 흐름을 제어한다. 테이블은 iptables의 규칙을 정의할 수 있는 가장 광범위한 범주로, 아래의 4가지 종류가 있다. 1filternatmangleraw이 중에서 filter는 단어가 의미하는 뜻 그대로 패킷을 걸러내는 용도이며, Inbound(호스트로 들어오는 패킷) / Outbound(호스트에서 밖으로 나가는 패킷) 및 Forward(호스트를 거쳐가는 패킷)

출처: https://m.blog.naver.com/nowababa/220845748729 o OWASP Top 10  (https://www.owasp.org/)   – 웹 프로그래밍과 관련하여 가장 많이 발생하는 취약점을 정리한 리스트로 번호가 중요도를 반영하고 있으며 개발 적용이나 교육이 용이함    ※ OWASP : Open Web Application SecurityProject 번호 내용 1 인젝션 2 인증 및 세션 관리 취약점 3 크로스 사이트 스크립팅 (XSS) 4 취약한 직접 객체 참조 5 보안 설정 오류 6 민감 데이터 노출 7 기능 수준의 접근 통제 누락 8 크로스 사이트 요청 변조 (CSRF) 9 알려진 취약점이 있는

false positive를 보통 오탐( false alarm)이라고 한다. 대부분의 정적분석 도구는 false positive와 false negative를 모두 가지고 있다.  좋은 정적분석 도구는 오탐(false positive) 과 미탐(false negative)비율이 낮고 오탐을 관리할 수 있는 기능을 제공한다. false positive : 실제로 오류가 존재하지않지만 오류라고 보고하는 경우를 말한다. true negative: 실제 오류가 존재하지 않고 보고도 안하는 경우를 말한다.  false negative : 실제로 오류가