# SAST VS DAST SAST DAST 화이트 박스 보안 테스트 테스터는 기본 프레임워크, 설계 및 구현에 액세스할 수 있습니다. 응용 프로그램은 내부에서 테스트됩니다. 이러한 유형의 테스트는 개발자 접근 방식을 나타냅니다. 블랙박스 보안 테스트 테스터는 애플리케이션이 구축된 기술이나 프레임워크에 대한 지식이 없습니다. 응용 프로그램은 외부에서 테스트됩니다. 이러한 유형의 테스트는 해커 접근 방식을 나타냅니다. 소스 코드가 필요합니다 SAST는 배포된 애플리케이션이 필요하지 않습니다. 애플리케이션을 실행하지 않고 소스 코드나 바이너리를 분석합니다. 실행 중인 애플리케이션 필요 DAST에는 소스 코드나 바이너리가 필요하지 않습니다. 어플리케이션을 실행하여 분석합니다. SDLC에서 조기에 취약점을 찾습..

# about agile ○ 애자일은 긴민한, 민첩한 의미를 지니는데 의미 그대로 애자일 방법론은 가빠르게 변화하는 현대시대에 효율적으로 적응하기 위해 개발과 함께 즉시 피드백을 받아 민첩하게 대처하는 방법론임 ○ 애자일 방법론은 초기에는 s/w 개발 방법론으로 시작하여 현대에는 s/w 뿐만 아니라 hr, 마케팅등 다방면으로 확산하고 있음 특징으로는 짧은 타임박스단위로 공정이 반복수행되고 프로덕트를 점진적으로 완성시킬 수 있으므로 개발과정에도 제품의 피드백을 받을 수 있기 때문에 유동적임 → 피드백이 많아져서 수행자입장에서 까다로울 수 있지만 비즈니스가치 우선순위에 따라 조정할 수 있음 ○ 변화에 능동적으로 대처 # waterfall 폭포수는 애자일방법론이 등장하기 전 전통적인 방식인데 개발과 테스트가 ..

# virtualization 가상화(假像化, virtualization)는 컴퓨터에서 컴퓨터 리소스의 추상화를 일컫는 광범위한 용어이다. "물리적인 컴퓨터 리소스의 특징을 다른 시스템, 응용 프로그램, 최종 사용자들이 리소스와 상호 작용하는 방식으로부터 감추는 기술"로 정의할 수 있다. [위키백과] → 하나의 물리 머신 상에서 복수의 시스템을 동시에 운영하는 것 / CPU, 메모리, HDD, NIC 등을 소프트웨어를 통해 논리적으로 만드는 것 / 물리 서버 단위가 아닌 Application 단위로의 전환 ○ 가상화가 필요한 이유 가상화 이전에는 한 OS에 하나의 application만 올라 갈 수 있었지만 가상화 이후에는 application을 os 바로 위가 아닌 Virtualizion 층에 올라가고..

# IaaS[Infrastructure as a Service] 약어 그대로 인프라를 서비스처럼 하겠다는 의미 기존 온프레미스에서 물리적으로 서버와 추가 인프라를 구입하는 것은 시간이 오래 걸리고 비용도 많이듬 이러한 단점을 보안하여 인프라를 임대하여 운용하는 방식으로 채택 s/w 보다는 h/w에 초점을 두어 서버, 네트워크, 스토리지에 대한 가상화를 진행함 가상화 위에 여러 o/s와 middleware등이 설치될 수 있도록 가상화하여 사용자에게 제공함 장점 서버를 인스턴스레벨로 변환하여 서비스를 제공하기 때문에 서버 구성시 시간 단축 인프라의 확장성 용이 사용자의 선택에 따라 필요한 구성요소만 구매하기 때문에 경제적 단점 IaaS 데이터센터의 보안을 제어할 수 없기 때문에 보안의 신뢰성 대규모의 데이터..

# Opt - in [Option in] → 당사자가 개인 데이터수집을 허용하기 전 까지 당사자의 데이터 수집을 금지하는 제도이다. 기업과 같은 단체가 광고를 위한 메일을 보낼 때, 수신자의 동의를 얻어야 메일을 발송할 수 있도록 하는 방식도 옵트인(Opt-in)방식 즉 동의가 필요하기 위해 어떤행위가 필요한 상태 ex) 회원가입시 개인정보수집 동의 체크 # Opt - out [Option out] → 당사자가 자신의 데이터 수집을 허용하지 않는다고 명시할 때 정보수집이 금지되는 제도이다. 기업과 같은 단체가 광고를 위한 메일을 보낼 때, 수신자가 발송자에게 수신거부 의사를 밝혀야만 메일발송이 금지되고 수신거부 의사를 밝히기 전에는 모든 수신자에게 메일을 보낼 수 있는 방식 즉 동의를 요구하지 않아도 되..

What is Base64 Encoding Base64 Encoding은 이름에서 알 수 있듯이 64 진법 기반의 인코딩 기법입니다. 8비트 이진 데이터(예를 들어 실행 파일이나, ZIP 파일 등)를 문자 코드에 영향을 받지 않는 공통 ASCII 영역의 문자들로만 이루어진 일련의 문자열로 바꾸는 인코딩 방식을 가리키는 개념입니다. 64가 2의 제곱수(64 = 26)이며, 2의 제곱수들에 기반한 진법들 중에서 화면에 표시되는 ASCII 문자들을 써서 표현할 수 있는 가장 큰 진법이기 때문이다. 즉, 다음 제곱수인 128진법에는 128개의 기호가 필요한데 화면에 표시되는 문자들은 128개가 되지 않습니다. 인코딩된 문자열은 알파벳 대소문자와 숫자, 그리고 "+", "/" 기호 64개로 이루어지며, "="는 ..