Language
한국어


예전부터 서버, DBMS, 네트워크, WAS, 웹 어플리케이션을 사람의 신체와 매핑하는 시도를 했었다.

서버는 골격, DBMS는 두뇌, 네트워크는 혈관과 근육, WAS는 호흡, 배설근육, 웹 어플리케이션보안시스템은 감각기관 웹어플리케이션은 행위를 하는 부분(눈, 코, 입, 귀, 손, 발 등)으로 구분하고자 했다. 상상력과 창의력이 부족한 탓도 있지만 비난에 대한 고민이 필요해서 였는지 아직 어딘가에 숨겨져 있다.


아래는 웹 어플리케이션 취약점을 질병과 매핑한 표이다.


증상이나 파급력, 치료 가능에 따라 적어봤다.(욕을 먹거나 흥미를 느낀 사람이 의견을 주겠지. ==3)


코드

취약점명

설 명

비교

BO

버퍼

오버플로우

메모리나 버퍼의 블록 크기보다 더 많은 데이터를 넣음으로써 결함을 발생시키는 취약점

소화기계통

질환

(or 장티푸스, 볼거리, 홍역)

FS

포맷스트링

스트링을 처리하는 부분에서 메모리 공간에 접근할 수 있는 문제를 이용하는 취약점

LI

LDAP

인젝션

LDAP(Lightweight Directory Access Protocol) 쿼리를 주입함으로서 개인정보 등의 내용이 유출될 수 있는 문제를 이용하는 취약점

OC

운영체제

명령실행

웹사이트의 인터페이스를 통해 웹서버를 운영하는 운영체제 명령을 실행하는 취약점

SI

SQL인젝션

SQL문으로 해석될 수 있는 입력을 시도하여 데이터베이스에 접근할 수 있는 취약점

신경계통질환

SS

SSI인젝션

SSI(Server-side Include)“Last modified"와 같이 서버가 HTML 문서에 입려갛는 변수 값으로, 웹서버상에 있는 파일을 include 시키고, 명령문이 실행되게 하여 데이터에 접근할 수 있는 취약점

소화기계통

질환(설사, 구토)

XI

XPath

인젝션

조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정상적인 데이터를 쿼리해 수 있는 취약점

DI

디렉토리

인덱싱

요청 파일이 존재하지 않을 때 자동적으로 디렉토리 리스트를 출력하는 취약점

관절염

IL

정보누출

웹 사이트 데이터가 노출되는 것으로 개발과정의 코멘트나 오류 메시지 등에서 중요한 정보가 노출되어 공격자에게 2차 공격을 하기 위한 중요한 정보를 제공할 수 있는 취약점

비만

CS

악성콘텐츠

웹애플리케이션에 정상적인 컨텐츠 대신에 악성 컨텐츠를 주입하여 사용자에게 악의적인 영항을 미치는 취약점

비염

XS

크로스

사이트

스크립팅

웹애플리케이션을 사용해서 다른 최종 사용자의 클라이언트에서 임의의 스크립트가 실행되는 취약점

감기

BF

약한문자열강도

사용자의 이름이나 패스워드, 신용카드 정보나 암호화 키 등을 자동으로 대입하여 여러 시행착오 후에 맞는 값이 발견되는 취약점

건망증

IA

불충분한 인증

민감한 데이터에 접근할 수 있는 곳에 취약한 인증 메커니즘으로 구현된 취약점

시각

장애

PR

취약한

패스워드 복구

취약한 패스워드 복구 메커니즘(패스워드 찾기 ) 대해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경, 복구할 수 있는 취약점

탈모

CF

크로스

사이트

리퀘스트

변조(CSRF)

CSRF 공격은 로그온한 사용자 브라우저로 하여금 사용자의 세션 쿠키와 기타 인증 정보를 포함하는 위조된 HTTP 요청을 취약한 웹애플리케이션에 전송하는 취약점

폐렴

SE

세션예측

단순히 숫자가 증가하는 방법 등의 취약한 특정 세션의 식별자(ID)를 예측하여 세션을 가로챌 수 있는 취약점

수두

IN

불충분한 인가

민감한 데이터 또는 기능에 대한 접근권한 제한을 두지 않은 취약점

청각

장애

SC

불충분한 세션만료

세션의 만료 기간을 정하지 않거나, 만료일자를 너무 길게 설정하여 공격자가 만료되지 않은 세션 활용이 가능하게 되는 취약점

불면증

SF

세션고정

세션값을 고정하여 명확한 세션 식별자(ID) 값으로 사용자가 로그인하여 정의된 세션 식별자(ID) 사용 가능하게 되는 취약점

홍역

AU

자동화공격

웹애플리케이션에 정해진 프로세스에 자동화된 공격을 수행함으로써 자동으로 수많은 프로세스가 진행되는 취약점

당뇨병

PV

프로세스

검증누락

공격자가 응용의 계획된 플로우 통제를 우회하는 것을 허가하는 취약점

면역

결핍

FU

파일업로드

파일을 업로드 할 수 있는 기능을 이용하여 시스템 명령어를 실행할 수 있는 웹 프로그램을 업로드 할 수 있는 취약점

FD

파일

다운로드

파일 다운로드 스크립트를 이용하여 첨부된 주요 파일을 다운로드 할 수 있는 취약점

장염

AE

관리자

페이지 노출

단순한 관리자 페이지 이름(admin, manager )이나 설정, 프로그램 설계상의 오류로 인해 관리자 메뉴에 직접 접근할 수 있는 취약점

고혈압

PT

경로추적

공격자에게 외부에서 디렉터리에 접근할 수 있는 것이 허가되는 문제점으로 웹 루트 디렉터리에서 외부의 파일까지 접근하고 실행할 수 있는 취약점

골다공증

PL

위치공개

예측 가능한 디렉토리나 파일명을 사용하여 해당 위치가 쉽게 노출되어 공격자가 이를 악용하여 대상에 대한 정보와 민감한 정보가 담긴 데이터에 접근이 가능하게 되는 취약점

후유증

트라우마

SN

데이터

평문전송

서버와 클라이언트간 통신 시 암호화하여 전송을 하지 않아 중요 정보 등이 평문으로 전송되는 취약점

피부병

CC

쿠키변조

적절히 보호되지 않은 쿠키를 사용하여 쿠키 인젝션 등과 같은 쿠키 값 변조를 통한 다른 사용자로의 위장 및 권한 상승 등이 가능한 취약점

후각

장애

조회 수 :
281
등록일 :
2015.08.18
15:57:00
엮인글 :
http://lispro06.woweb.net/blog/46705/e7b/trackback
게시글 주소 :
http://lispro06.woweb.net/46705
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
:

[위풍당당] 성석제

사자는 토끼 한 마리를 잡을 때도 최선을 다하는 법이다. 181쪽


[프랑스 와인 여행자]


샴페인은 프랑스 샹파뉴 지방에서 만드는 거품 있는 와인을 말한다. 그러나 많은 사람들은 거품이 있으면 모두 샴페인이라고 부른다. 제대로 구분해서 와인을 즐기고 싶다면 이점을 명심하기 바란다. 즉, 샹파뉴 지방에서 만든 거품 와인만이 샴페인이고, 샹파뉴 이외 지방에서 만들면 샴페인이 아니다. 물론 프랑스가 아닌 다른 나라에서 만든 거품 와인은 샴페인이 아니다. 이런 와인들의 총칭은 그저 스파클링 와인이다. 샴페인은 그 자체가 하나의 상품이다. 그래서 고유명사가 일반 명사화되었다. 샴페인이 되기 위한 조건이 하나 더 있다. '샹파뉴 방식'에 의거하여 거품 와인을 만들어야 한다. 샹파뉴 방식이란 곧 병 속에서 2차 발효를 하는 것이다. 거품을 병 속에 인위적으로 집어넣는 것은 샹파뉴 방식이 아니다. 결국 샴페인은 샹파뉴 방식으로 양조할 때에만 샴페인이라고 부를 수 있다. 그 외에는 샴페인 이름을 사용할 수 없다. 231쪽


생테밀리옹에서 전해 오는 이야기는 1620년 한 수녀원에서 마카롱이 탄생했다는 것이다. 단조롭고 심심한 수녀원에서 배꼽 빠지게 웃고 싶어서 그랬는지 몰라도 마카롱은 배꼽을 닮았다.~중략~

마카롱은 밀가루로 만드는 게 아니니 과자가 아니다. 계란 흰자와 아몬드 가루, 그리고 설탕으로 만든 머랭을 샌드위치처럼 포개고 그 사이에 잼이나 크림을 채우면 완성된다. 아몬드 맛이 주류를 이루는 이유는 이 때문이다. 320~321쪽


낼, 도서관 휴관이려나?

조회 수 :
199
등록일 :
2015.08.15
21:43:25
엮인글 :
http://lispro06.woweb.net/blog/46685/0e5/trackback
게시글 주소 :
http://lispro06.woweb.net/46685
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
:

"납품업자가 누구야?"

박태준은 납품업자의 이름을 확인한 다음 즈각 사단본부에 이 사건을 보고했다. 그러나 놀랍게도 사단본부에 있는 고위 장교들은 이 사건을 보고받고도 태연했다. 그들은 이미 이러한 사기행각을 알고 있으면서도 눈감아 주고 있던 것이다. 정부와 군부 내의 부정부패가 워낙 뿌리 깊게 박혀 있었기 때문에 이와 같은 사기 행각이 오랫동안 지속될 수 있었다. 34쪽


예전의 군인들은 똑똑한 사람들이었다.. 대통령도하고 사업도 해서 잘 경영했다. 그런데 지금은 멍청한 놈들이 많아 똑같이 해도 다 걸리고 말아먹는다. ㅉㅉ

조회 수 :
168
등록일 :
2015.08.08
10:28:21
엮인글 :
http://lispro06.woweb.net/blog/46647/ad8/trackback
게시글 주소 :
http://lispro06.woweb.net/46647
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
:

 낮 동안에 도서관은 질서의 세계이다. 나는 분명한 목적하에 문자로 쓰인 글들을 읽어가며 이름이나 목소리를 찾고, 주에에 따라 내 관심에 맞는 책을 찾아낸다. 도서관의 구조는 난해하지 않다. 직선들로 이루어진 미로이지만, 방향을 잃게 하기 위한 미로가 아니라 원하는 걸 쉽게 찾기 위한 미로이다. 누가 봐도 논리적인 분류법에 따라 분할된 공간이며, 알파벳과 숫자를 이용해 기억하기 쉽게 맞추어진 분류 체계와 미리 결정된 목록에 따라 배치된 공간이다. 20쪽


과리노에 따르면, 말을 하는 것은 독서가의 소화력에 도움을 준다. "말을 하면 열이 올라 피가 묽어지고, 정맥을 말끔히 씻어내고 동맥을 활짝 열어주어, 음식을 흡수해 소화하는 혈관에 불필요한 습기가 남아 있는 걸 허용하지 않기 때문이다." 단어의 소화도 마찬가지이다. 나는 글을 쓰려고 도서관 뒤에 마련한 한 귀퉁이, 아무도 내 목소리를들을 수 없는 그곳에서 가끔 크게 소리 내어 읽는다. 글을 좀 더 깊이 음미하며 이를 내 것으로 더욱 공고하게 만들고 싶어서. 187쪽

내 도서관에는 목록이 없다. 하지만 한 권 한 권을 내 손으로 서가에 꽂았기 때문에 도서관의 구조만 떠올리면 모든 책의 위치를 어렴풋이나마 기억할 수 있다. 따라서 빛과 어둠은 내가 책을 찾는 데 별다를 영향을 미치지 않는다. 머릿속에 기억된 순서는 내 안에 심겨진 패턴으로 도서관의 형태와 구분을 따른다. 221쪽


강남역 근처에도 도서관이 있었다. 가봐야겠다.

조회 수 :
115
등록일 :
2015.08.08
10:14:16
엮인글 :
http://lispro06.woweb.net/blog/46645/7c5/trackback
게시글 주소 :
http://lispro06.woweb.net/46645
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
:

구글에서도 챙겨주네



조회 수 :
180
등록일 :
2015.07.13
09:09:30
엮인글 :
http://lispro06.woweb.net/blog/46212/0c8/trackback
게시글 주소 :
http://lispro06.woweb.net/46212
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
:

구글 visualization query를 이용해 차트나 여러 분석자료를 확인해 볼 수 있겠다는 생각에 https://namu.wiki/w/2015년%20대한민국%20메르스%20유행/경과 를 참고해 데이터를 넣고 통계와 차트를 그려봤다.

www.mt.co.kr/mers/


http://lispkorea.org:8991/mers.php


스크린샷 2015-06-21 오후 7.37.33.png


생각보다는 유용한 결과를 도출하지 못했지만, 치사율 구하는 방법을

사망자/(사망자+퇴원자)

로 해볼 수 있다는게 좋은 점이다.


평균 확진 후 퇴원 일 수나 사망 일 수 에서는 아직 유용한 내용을 알 수 없지만 추후 좋은 분석자료가 될 것이다.


연령별 사망률과 퇴원율을 구해야하는데 쉬운게 아니다.


https://docs.google.com/spreadsheets/d/17-Xqa9HyOqBcQLIpZA_2FyHEMYolIUnwmePawuFXc-g/edit?usp=sharing


스크린샷 2015-06-21 오후 7.40.51.png


* 10대는 100% 생존, 80대는 100% 사망 T.T;;; 아직 치료중인 환자가 있으니 예외가 나올 것이다.

'1' 댓글

lispro06

2015.10.07
21:09:07

메인 시트가 아닐 경우

스프레드시트 URL을 아래와 같이 한다. json 형식의 파일을 얻을 수 있다.


https://docs.google.com/spreadsheets/d/17-Xqa9HyOqBcQLIpZA_2FyHEMYolIUnwmePawuFXc-g/gviz/tq?gid=1819768226

문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
:

성적인 경우도 이처럼 욕구와 욕망의 단계를 구별해볼 수 있습니다. 적령기가 되면 동물이나 인간은 모두 이성에 대한 성적 욕구, 즉 성적 결핍감을 느낍니다. 그래서 발정기 때 동물들은 허겁지겁 짝짓기를 수행하지요. 그러나 인간은 성적 대상 앞에서 성적 욕국를 느끼지만 상대방과 와인을 마시거나 애무를 하며 직접적인 성교를 뒤로 미룹니다. 이런 측면에서 욕망이란 욕구에 기생해서 작동 하는 메타적 욕구라고 불립니다. 가령 결여를 느낄 때 그것을 곧바로 충족시켜버리면, 욕망은 마치 신기루처럼 사라져버린다는 것을 직감합니다. 이런 이유로 욕구를 계속 뒤로 미루다 보면 욕망은 욕구보다 훨씬 더 커지게 되지요. 물론 욕망의 힘이 너무 강해서 감당할 수 없을 정도로 커질 때, 우리는 그것과 관련된 욕국를 충족시켜 그 욕망의 힘을 잠재워버립니다.

144~145p


사당 솔밭 도서관이 메르스의 영향으로 일주일 정도 휴관한다. 난 휴관할 수 없다.

조회 수 :
163
등록일 :
2015.06.13
15:51:47
엮인글 :
http://lispro06.woweb.net/blog/45297/e2d/trackback
게시글 주소 :
http://lispro06.woweb.net/45297
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
:

지로용지가 없어져서 방법을 찾다가 etax에서 가능한 것을 확인했다.


수요일에 처리하려 했으나, 공인인증서가 없어서 카피하는 사이 밤 11시 50분이 되었다.


서비스 시간이 아니라는 메시지가 나와서 화나서 자버렸다.


목요일은 출장이라 못하고 오늘 처리했다.


계좌이체보다 이게 더 나은 듯.



조회 수 :
311
등록일 :
2015.05.28
10:12:54
엮인글 :
http://lispro06.woweb.net/blog/44371/12a/trackback
게시글 주소 :
http://lispro06.woweb.net/44371
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
:

고작 돈을 많이 벌기 위해 매일 아침 사무실에 나가

주가 변동 그래프의 움직임을 쳐다보면서 '샀다 팔았다

샀다 팔았다' 한단 말이냐? 무슨 인생이 그래?!

오늘날 많은 사람들이 좌절하고 있는 이유를 아니?

제일 똑똑하다는 애들이 그런 걸 하고 있어서 그런거야!



주옥같은 글들이 많다.


나는 적어도 의미없이 트레이딩을 하며 폭탄돌리기를 하지는 않겠다!!!

조회 수 :
163
등록일 :
2015.05.15
02:42:09
엮인글 :
http://lispro06.woweb.net/blog/39771/b6e/trackback
게시글 주소 :
http://lispro06.woweb.net/39771
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
:

요즘 도시철도 소외 지역으로 출근하고 있다. 비명소리 나온다.


서울 도시철도 노선 가운데 최고의 특별 혼잡 지역으로 분석되는 2호선 신도림에서 교대 구간, 특히 최고조에 이르는 오전 8시 20분부터 8시 50분까지의 서울대입구-교대 구간과 8시부터 8시 30분까지의 4호선 미아삼거리-동대문 구간은 모두 넓은 도시철도소외 지역을 배후에 두고 있다. 출근 시간뿐만 아니라 퇴근 시간에도 도시철도 소외 지역으로 이동하는 사람들은 커다란 고통을 겪는다.

하지만 어떤 정치인도 퇴근 시간 4호선 동대문 역사문화공원역의 터져 나오는 사람들의 비명 소리에 귀 기울이는 모습을 보지 못했다. 하루하루 '지옥철'의 고통 속에 ㅣ달리는 시민들의 고통의 원인은 정치에 있다.

특히 일부 토건족과 이해를 같이하는 정부 부처와 정치인들은 폭발 직전인 낙후 지역의 교통 이동권 불만을 자신들의 이윤 추구 창구로 전환시키려 하고 있다. 이들은 서민을 위해 교통 인프라 개선을 시도하겠다며 민간투자 사업이라는 반서민적 정책을 전면화하려 하고 있다. 지하철 9호선과 신분당선이 보여 주듯이, 민간투자 사업은 결국 세금은 세금대로 가져가고 높은 요금과 불편을 감수하게 하면서 투자자들은 막대한 수익을 챙기는 반서민적인 정책으로 귀결된다. 사회간접자본과 관련된 정부의 재정 부담을 줄여 주고 민간투자를 활성화하겠다는 그럴듯한 명분을 내걸고는 토건족과 이를 대변하는 정치인, 정부 관료들이 하나가 되어 천문학적 액수의 시민 혈세를 뽑아 간 게 그동안의 민자 사업이었다. 66p

조회 수 :
191
등록일 :
2015.05.15
02:20:31
엮인글 :
http://lispro06.woweb.net/blog/39727/c3c/trackback
게시글 주소 :
http://lispro06.woweb.net/39727
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
: